無線LANセキュリティ:wpa_supplicant vs. xsupplicant
Wi-Fiの保護されたアクセス(WPAおよびWPA2)は、2つの全く同じ機能を持ったアプリケーション、 wpa_supplicantとxsupplicantがPortageでサポートされています。 開発者のHenrik Brix Andersenは、 現在全く更新されておらず、Gentooの新しいbaselayoutに統合できないため、 後者(xsupplicant)を非推奨にしようという計画に対して意見を募集しています。 wpa_supplicantは、より頻繁なリリースを行っており、 xsupplicantよりも広く使われています。 それにも関わらずPortageに残しておいて欲しいユーザは、 wpa_supplicantよりもなぜ使いたいと思うのかの説明を彼に電子メールで送ってください。
stage1/2がインストールドキュメントから削除されることに決定
ドキュメントプロジェクトチームが、デフォルトインストールの手順の文書から、stage1とstage2の部分を削除することを決定しました。初心者ユーザのインストールミスを減らすのが目的でしたが、devメーリングリストには、「stage1/2は今後もサポートされるのか」という質問が集中しました。 手短に言えば、stage1とstage2は今後も提供されつづけますが、メリットも少なく、どうにもできないbugが数多く報告される原因にもなることから、デフォルトのインストールとして使われるべきではない、ということです。
http://wwwredesign.gentoo.orgのステータスレポート
ウェブサイトのリデザインプロジェクトは順調です。Curtis Napierが、作品についてフィードバックを求めたところ、多くの反響がありました。 多くの変更が取り込まれましたが、 新しいサイトはまだ作業が続けられており、もうすぐ「古い」サイトから移行する予定です。
Split ELF debug
Ned Luddが、おそらく2.0.54で実装されるPortageの新機能、debug情報の分割機能を解説しています。 ちょっとよくわかりにくいこの機能は、実行ファイルを実行部分とdebug情報に分割し、実行ファイルのサイズを減らしつつ、可能な限りdebug情報も保持するというものです。
バンガロール在住で、インドにおける唯一のGentoo開発者でもあるShyam Maniは、11月29日から12月2日までの四日間開催されるFOSS.IN 2005にて、Gentooブースを仕切ります。 特別開発者であるSeemant Kulleenはこのイベントのためにインドまで出張し、「What and Why?」という題名でGentooを紹介する講演を行います。その後にはShyamと地元のGentoo愛好家であるArun Raghavanが発表を行います。11月30日の午後は、こうしてGentooの話題で埋められています。
12月15日、日本のGentoo愛好家達は恒例の忘年会を開催します。これは日本社会の伝統で、3人以上の組織ならおそらく必ず開催するはずです。 GWN邦訳担当の桜井知之氏は今年の忘年会開催場所を横浜の関内駅近辺にしました。昨年までの東京都内からは変更されましたが、都心から一時間程度の距離です。 店についてはまだ決まっていません。 会費は4000円。 参加希望の人はgentoojp-misc@gentoo.gr.jpのメーリングリストで表明してください。
Bruce Byfieldは、Terry Pratchettが空想した、巨大亀の背の上に住んでいる平らな世界を発端として、GentooとPortageについて公開されている記事で言及しています。「It's turtles and modules all the way down(それは端から端まで亀とモジュールからなります)」は、LinuxをPratchettの幻想世界にでてくる凝り固まった信念になぞらえています。すなわち、コンポーネントの導入が以下のように進められます。「いくつかのモジュールは、正確にはホットスワップ可能ではありませんが、開発者達は、ホットスワップが備わってなくても、備わっているようにOSからその部分を取り外し、改良したバージョンに置き換えようとします。」Byfieldに一言いいますと、驚いたことに、Linux OSの中で固定部分が無いことは、結局は美点となりました。とりわけ、「亀とは異なって、モジュール方式の仮定は、偶然証明できました。」
新創刊されたO3マガジンは、無料で記事をダウンロードすることができます。その中には、「open-source enterprise data networking magazine(オープンソースの来業務向けデータネットワークマガジン)」やMathew J. Burfordによるlighttpdに関する記事や、軽量Webサーバのベンチマークがあります。このベンチマークの記事は、「Gentoo Linuxを使って、性能、安全性、拡張性に注目」して説明しています。
Sumo Computerは、製品のOSにGentooを選択したことで以前のGWNで取り上げられましたが、今回、お知らせするのはLAMPサーバの発表です。このサーバは、Kuro-Box(玄箱)をベースにし、システムは事前に設定済みですが、sumo Computerの以前の商品(549USドル)よりも低価格化(399USドル)しています。
開発者のChris White(訳注:JPユーザはご存じですよね:)は、GentooのスポンサーのGenesi社のODW platformにHardenedインストールした記事を書いています。"Setting Up My PPC/Hardened/uClibc/RSBAC/PaX Kernel"という彼のBlogのエントリーは、彼がどのようにHardened PPCをインストールしたかを事細かに説明しています。「彼はこの記事について責任を持ってサポートしていますので、何でも質問ができますよ」。
最近Gentooチームから次の開発者が去りました。
最近Gentoo Linuxチームに次の開発者が入りました。
最近次の開発者はGentoo Linuxプロジェクトでの役割が変更となりました。
GNUMP3d: ディレクトリトラバーサルと安全でないテンポラリファイルの作成
GNUMP3dにおいて、制限されたディレクトリに対する移動や安全でないテンポラリファイルの作成を許してしまうふたつの脆弱性の存在が判明しました。
詳細についてはGLSA Announcementを参照して下さい。
FUSE: fusermountを使ったmtabファイルの汚染
FUSEで提供されているfusermountユーティリティを悪用して/etc/mtabファイルの内容を汚染することができるため、ローカルのアタッカーに対して、承認されていないマウントオプションを設定することを許してしまう可能性があります。
詳細についてはGLSA Announcementを参照して下さい。
phpSysInfoは、情報漏洩を招くローカルファイルの挿入から任意のコードの実行までを含む複数の問題に対して脆弱です。
詳細についてはGLSA Announcementを参照して下さい。
eixには安全でないテンポラリファイルの作成に関する脆弱性が存在し、ローカルユーザに対して任意のファイルの上書きを許してしまう可能性があります。
詳細についてはGLSA Announcementを参照して下さい。
Horde Application Framework: XSS脆弱性
Horde Application Frameworkには、被害者のブラウザコンテンツを危険にさらす可能性のあるクロスサイトスクリプティングの脆弱性が存在します。
詳細についてはGLSA Announcementを参照して下さい。
Macromedia Flash Player: リモートからの任意のコードの実行
悪意あるSWFファイルの操作を通して、ユーザのシステム上で任意のコードを実行することを許してしまう脆弱性が発見されました。
詳細についてはGLSA Announcementを参照して下さい。
Gentooコミュニティでは、バグやお知らせ、提案やその他開発チームとのやり取りの記録、追跡にBugzilla(bugs.gentoo.org)を使っています。 2005年11月20日から2005年11月27日までのデータは以下のような結果になっています。
現在オープンしているバグ9020個のうち、 104個が「極めて重大(Blocker)」、 200個が「重大(Critical)」、 556個が「中(Major)」とラベル付けされています。
本期間内にもっとも多くバグをクローズした開発者、チームは以下の通りです。
本期間内にもっとも多く新しいバグを割り当てられた開発者、チームは以下の通りです。
GWNに対するご意見ご感想は こちらに送ってください。
Gentoo Weekly Newsletterを定期購読するには、空メールを gentoo-gwn+subscribe@gentoo.org に送ってください。
Gentoo Weekly Newsletterの購読を中止するには、配信先のメールアドレスから空メールを gentoo-gwn+unsubscribe@gentoo.org に送ってください。
Gentoo Weekly Newsletterは以下の言語でも読むことができます。