セキュリティは、いつでもGentooプロジェクトのもっとも強みとする特徴の1つです。 GLSAの品質が落ちるのを防ぐために、セキュリティチームは積極的に既存のそして将来の開発者から追加支援となる人を探しています。 この求人活動は、メンテナ不在や不活発なパッケージメンテナだけでなく、GLSAコーディネータの不足によるセキュリティバグ修正の遅延という潜在的な問題に対する保険の目的がありあす より多くのサポートを必要としている他の分野は、KISSプロジェクト(kernel security advisory system)とglsa-checkのPortageへの統合です。 もしこれらのセキュリティ関連の問題を片付けるのを手伝うことができ、その意思があるなら、 次のプロジェクトまたはサブプロジェクトのリーダに連絡を取ってください。
注意: より詳細な内容は、最新のセキュリティチームのミーティング報告を見てください。 |
bugs.gentoo.orgのメンテナは、 "Gentoo Linux"の中の古い"Gentoo Linux Installer" (GLI)コンポーネントを削除しました。 代わりに"Installer"コンポーネントを"Gentoo Release Media"のサブカテゴリとして追加しました。 すべての古いバグは、既に再割り射当てされています。 もしインストーラに関するバグを報告したい場合は、新しいコンポーネントを使用してください。
Ruby on Rails 1.1 RC1がPortageに入りました
Ruby on Rails 1.1の最初のリリース候補がPortageに入りました。 ~archで動作させているユーザは、古いものを削除することなく新しいバージョンをgemインストールに追加します。 新しいバージョンを利用することができますし、必要があればコードを古いバージョンを使用して実行することもできます。 Portageバージョンは、すべて.4008で終わっていますが、 これは、1.1_RC1リリースに対する本家のSubversionリポジトリのコミット番号を表しています。
新しいバージョンを試してみたいユーザには、これを奨励します。 バグはGentooまたは、 http://dev.rubyonrails.orgの適切な方に報告してください。 既存のRailsアプリケーションを特定のバージョンを指定して使用したい人は、、 次のURLからその方法に関する情報を入手できます。
タイムゾーンの修正方法
3月にオーストラリアで開催される大英連邦大会(訳註: 英連邦所属各国によるスポーツ大会)のためにタイムゾーンの変更が実施されるのですが、Gentooのタイムゾーンデータの更新はそれに間に合いませんでした。オーストラリアの州によっては、通常実施されるサマータイムへの変更が4月2日にずれ込みます。その1週間の間、時刻が1時間ずれないようにするには、こちらのスレッドをごらんください。
突然ダンジョンが崩壊?!
Gentooだとゲームは危険なものになってしまうのでしょうか?先日発見されたNetHackの脆弱性から活発な議論が始まりました。とはいっても、NetHackに脆弱性があったわけではありません。原因はGentooにおけるゲームの扱いであって、他のディストリビューションでは問題とはなりません。グループgamesの扱い方を変えるべきなのでしょうか?
ZDNet France (2006年3月20日 フランス)
"Renaissance"は、Christian Volckman監督による2054年のパリを舞台にしたアニメーション映画のタイトルです。若い科学者が拉致され、 無名の警察官が取り戻そうとする内容です。 実際の役者がこの「アニメ版 マトリックス」に参加しており、 役者の動きをキャプチャーし、その動きをコンピュータが生成する白黒の世界に変換して作成されています。 このレンダリングのほとんどを、200台のGentoo Linuxサーバのクラスタ上で行われました。 フランスのZDNetサイトは、 この記事によると、この映画は価値があるものであると明白な見解を示しています。これは、舞台裏のクリエイティブ・チームである"Attitude Studio"の技術ディレクター、Julien Doussotのインタビューを元にしてます。
"A distro of power"は、Joseph QuigleyがGentoo Linuxに敬意を表した言葉で、先週の木曜日に出版されたNewsforgeの「My Desktop OS」というミニシリーズの最新の記事に掲載されています。 いわゆる「ローエンドシステム」として呼ばれる構成でGentooを使用したにもかかわらず、 「ほとんど障害や誤作動もなくDVDが見ながらKDEをコンパイルできた」という良い印象を与えています。 彼の1.58GHzのAMD Sempron 2300と512MBのRAMで構成されたシステムをローエンドと見なすのに同意しない人もいることでしょうが、その反対に、「もしあなたがハイエンドシステムを持っていたとしても、ガッカリすることはないでしょう」とQuigleyは言っています。
最近Gentooチームから次の開発者が去りました。
最近Gentoo Linuxチームに次の開発者が入りました。
最近次の開発者はGentoo Linuxプロジェクトでの役割が変更となりました。
PeerCastに存在するバッファーオーバーフローの脆弱性のため、任意のコードの実行を招いてしまう可能性があります。
詳細についてはGLSA Announcementを参照して下さい。
Pngcrushに存在するバッファオーバーフローの脆弱性のため、任意のコードの実行を招いてしまう可能性があります。
詳細についてはGLSA Announcementを参照して下さい。
cURL/libcurl: TFTPのURLの扱いにおけるバッファオーバーフロー
libcurlはTFTPプロトコル用のURLを扱う場合に発生するバッファオーバーフローの影響を受けており、ユーザシステムを危険にさらすために悪用される可能性があります。
詳細についてはGLSA Announcementを参照して下さい。
Macromedia Flash Player: 任意のコードの実行
悪意あるSWFファイルの操作を通じてユーザシステム上で任意のファイルを実行することを許してしまう複数の脆弱性が発見されました。
詳細についてはGLSA Announcementを参照して下さい。
Sendmailには競合状態に関する脆弱性が存在し、sendmailの権限による任意のコードの実行を招く可能性があります。
詳細についてはGLSA Announcementを参照して下さい。
PHPに存在する複数の脆弱性のため、リモートアタッカーにより任意のHTTPヘッダを挿入されてクロスサイトスクリプティングを発生させられたり、場合によっては任意のコードを実行されたりする可能性があります。
詳細についてはGLSA Announcementを参照して下さい。
NetHack、Slash'EM、Falcon's Eye: ローカルでの権限昇格
NetHack、Slash'EMおよびFalcon's Eyeには、ローカルでの権限昇格の脆弱性が存在するため、他のユーザの権限で任意のコードの実行を許してしまう可能性があります。
詳細についてはGLSA Announcementを参照して下さい。
RealPlayerには、リモートからの任意のコードの実行を招いてしまう可能性のあるバッファオーバーフローの脆弱性が存在しています。
詳細についてはGLSA Announcementを参照して下さい。
Gentooコミュニティでは、バグやお知らせ、提案やその他開発チームとのやり取りの記録、追跡にBugzilla(bugs.gentoo.org)を使っています。 2006年3月19日から2005年3月26日までのデータは以下のような結果になっています。
現在オープンしているバグ9756個のうち、 66個が「極めて重大(Blocker)」、 150個が「重大(Critical)」、 536個が「中(Major)」とラベル付けされています。
本期間内にもっとも多くバグをクローズした開発者、チームは以下の通りです。
本期間内にもっとも多く新しいバグを割り当てられた開発者、チームは以下の通りです。
GWNに対するご意見ご感想は こちらに送ってください。
Gentoo Weekly Newsletterを定期購読するには、空メールを gentoo-gwn+subscribe@gentoo.org に送ってください。
Gentoo Weekly Newsletterの購読を中止するには、配信先のメールアドレスから空メールを gentoo-gwn+unsubscribe@gentoo.org に送ってください。
Gentoo Weekly Newsletterは以下の言語でも読むことができます。