Gentoo Wekelijkse Nieuwsbrief: 25 april, 2005Project Dolphin: Experimentele reddings-CD Benjamin Judas kondigde afgelopen vrijdag aan, dat het 'release-engineering'-team een expirimenteel subproject genaamd "Project Dolphin" heeft gecreeerd, om een LiveCD met extra onderdelen aan te bieden, gericht op het redden van systemen. Net als het onofficiele Franse project SysRescueCD, dat ook is gebaseerd op de Gentoo LiveCD, richt Project Dolphin zich op het aanbieden van alle benodigde gereedschappen, voor het herstellen van 'kapotte systemen', zoals niet werkende harde schijven of andere systemen die hersteld dienen te worden.
Hoogtepunten van de CD zijn o.a. zsh, samba, bacula, mc, dar, mutt, xfsdump, ide-smart, netcat, nmap, chrootkit, partimage, ncftp, centericq, bind-tools, alsa-utils, mpg321. Een zeer vroege test-ISO-image, waarvoor actief om testers wordt gevraagd, is beschikbaar gemaakt om te downloaden in het expirimentele gedeelte van de Gentoo mirrors, in het pad /experimental/x86/livecd/x86. Gebruikers worden dringend verzocht om commentaar op te sturen naar een vers geintroduceerde meta-bug, om problemen te rapporteren of aanvullende onderdelen aan te vragen. Heel erg bedankt voor jullie ondersteuning! Internationale Gentoo mailinglijst aanvullingen Twee nieuwe mailinglijsten zijn beschikbaar gemaakt afgelopen week: De Nederlandse versie van de Gentoo Wekelijkse Nieuwsbrief wordt nu via email in platte-tekstversie gedistribueerd, via gentoo-gwn-nl@gentoo.org, kort nadat het is vertaald van de originele Engelse. Net als alle andere nieuwsbrief mailinglijsten, is dit alleen voor distributie. Nederlands- en Vlaamssprekende lezers van de GWN kunnen zich abonneren op de nieuwe lijst, door een email te sturen naar gentoo-gwn-nl-subscribe@gentoo.org en daarna de instructies in het bevestigingsbericht, wat ze ontvangen, te volgen. Een standaard ondersteunings- en discussielijst is opgezet voor alle Russische Gentoo gebruikers, zoals Konstantin V. Arkhipov afgelopenb week aankondigde. Op gentoo-user-ru@gentoo.org kan worden ingeschreven door een leeg bericht te sturen naar gentoo-user-ru-subscribe@gentoo.org. Een complete lijst van officiele Gentoo mailinglijsten, zowel van Engelse als niet-Engelse lijsten, is met gebruiksinstructies beschikbaar op de mailinglijstpagina. "Gentoo is Zen applied to software" -- Patrick Lauer (bonsaikitten)
De prominente ontwikkelaar van deze week is bonsaikitten, die door het echte leven gaat onder de naam Patrick Lauer. Hij heeft zijn loyaliteit niet toegezegd aan een specifieke factie van Gentoo 'devhood', maar houdt ervan om aan van alles een beetje te worken. Sinds eind-2004 is hij ook een regelmatige bijdrager aan de GWN, vooral de gentoo-dev mailinglijst samenvattinngen en zijn column, Ontwikkelaar van de Week, zijn gewoonlijk door hem geschreven. Patrick bedient de gentooexperimental.org server, bronnen aanbiedend voor vreemde en onafgemaakte ideeen, inclusief o.a. tinderbox, de script repository and toekomstige (web-)rsync vervangingskandidaten. Planet Gentoo werd eerst op Patrick's server gedraaid, voor dat het naar de officiele hardware, dat beheerd wordt door het Gentoo infrastructuurteam, werd verplaatst. Overdag is hij een student Computer Wetenschappen aan de RWTH Aachen, Duitsland, waar hij zijn proefschrift over "anonieme netwerken" is begonnen te schrijven, wat weinig kostbare tijd over laat voor alle andere dingen, maar na vier-en-een-half jaar aan de universiteit voelt hij zich klaar om verder te gaan. Zijn computeromgeving is een kamer vol waardeloze oude hardware, een Quad Xeon, twee Athlons, en (met dank aan de CW-faculteit van zijn universiteit) een 16-CPU cluster. Hij is een gebruiker van blackbox, firefox, licq, soms konqueror, en -- door verkopersinsluiting -- evolution, wat bij elke revisie minder bruikbaar schijnt te worden, "zoals al gnomen en trollen," zegt Patrick. Hij houdt ervan in Python te werken, maar andere talen zijn ook geen probleem - "tenzij ze Java heten en lange bezweringen nodig hebben voor elk apart statement." Als het weer het toelaat kan hij aan het mountainbiken gevonden worden in de bossen en velden rond Aachen. Hij houdt ook van goed eten, goed (Belgisch) bier, en het gezelschap van een, bij voorkeur, zeer intelligente en sexy vrouw (alhoewel het laatste niet zo vaak gebeurd als gehoopt). Zijn motto is geleend van Alfred Lord Tennyson: "It is better to have loved and lost than never to have loved at all." 3. Geluiden uit de gemeenschap Een paar nieuwe X.org ebuilds. Voor iedereen die het nieuwste van het nieuwste en het meest "bleeding edge" spul wil hebben, heeft Donnie Berkholz een paar nieuwe X.org ebuilds in portage gedaan. Bug rapportages zijn erg welkom. Vooral de 6.8.99.* snapshots kunnen interresant zijn om te proberen, maar wees gewaarschuwd, het kan sommige dingen breken ... Categorie hernoeming Omdat er veel proxies zijn (niet allemaal zijn alleen www), de www-proxy category kan worden hernoemd naar net-proxy. Alle SOCKS, www, ftp, etc. proxies zijn dan makkelijk te vinden in hun nieuwe categorie. Gentoo als een ontwikkelingsplatform Daniel Drake is een discussie begonnen over hoe je Gentoo kan gebruiken als een ontwikkelingsplatform waar je normaal gesproken verscheidene fixes uit CVS moet trekken. Hoe houd je alles onder de controle van portage en toch met de mogelijkheid om alles te kunnen repareren? Heeft portage ondersteuning voor 'live CVS ebuilds', op een normale manier? Lees verder om er achter te komen. Apache problemen Zoals sommige van jullie al gemerkt zullen hebben, heeft het Gentoo Apache team een aantal flinke wijzigingen aangebracht aan de nieuwste versies van Apache. Dit is gedaan voor een aantal redenen, onder andere (maar niet alleen) makkelijker onderhoud. Dit heeft een aantal problemen opgeleverd, aangezien er geen makkelijk overgangstraject is en de meeste gebruikers geen zin hebben om hun configuratie weg te gooien en opnieuw vanuit niets te beginnen. Daarom zijn de nieuwste versies package.masked tot dat dit probleem is verholpen. Zwitserland: Pentoo - Op Gentoo gebaseerde indringersdetectie LiveCD "Pentoo" is een acroniem voor "PENetration on genTOO". Het is gebaseerd op kernelversie 2.6.10, gebruikt de Gnome desktop omgeving, and mikt erop een compleet platform voor indringersdetectie, penetratietesten en beveiligingsbeoordeling te zijn. De inhoud van de LiveCD kan worden geupdate, wat de mogelijkheid biedt up-to-date vingerafdruk- en kwetsbaarheiddatabases te gebruiken, voor programma's die regelmatig updates nodig hebben, zoals de Nessus plugins, scanner vingerafdrukbestanden, metasploit etc. Gebruikers kunnen optioneel gegevens opslaan op USB sticks voor niet-vluchtige opslagondersteuning. Pentoo's auteur, Michael Zanetta benadrukt dat "het als beta beschouwd moet worden omdat ik niet veel tijd heb om het zorgvuldig te testen," dus op- en aanmerkingen zijn zeer welkom, op bugs@pentoo.ch. Een roadmap voor het project is ook beschikbaar.
Somos libres (25 April 2005, in het Spaans) De editie van vandaag van de Peruaanse "Free and Open Software User Group" website op Somos Libres, heeft een interview met Daniel Oliveira, een van de hoofdfiguren van het Gentoo spin-off project Ututo, ontwikkeld op en rond de universiteit van Buenos Aires in het buurland Argentinie. Oliveira, die een kernteam van 37 mensen vertegenwoordigd, dat bezig is Ututo door te drukken naar individuele gebruikers, maar ook bezig is met gemeentelijke diensten en midden- en kleinbedrijf in Argentinie, legt uit over de geschiedenis en de huidige status van het project. 6. Verplaatsingen, Toevoegingen en Veranderingen De volgende developers hebben het Gentoo Team recentelijk verlaten:
De volgende developers zijn recentelijk bij Gentoo Team gekomen:
De volgende developers zijn recentelijk van rol veranderd in het Gentoo Linux project:
phpMyAdmin: Cross-site scripting kwetsbaarheid phpMyAdmin is kwetsbaar voor een cross-site scripting aanval. Voor meer informatie zie de GLSA Aankondiging Axel: Kwetsbaarheid in HTTP redirection handling Een buffer overflow kwetsbaarheid is gevonden in Axel die kan leiden tot het uitvoeren van ongeautoriseerde code. Voor meer informatie zie de GLSA Aankondiging Gld: Remote executie van ongeautoriseerde code Gld bevat een aantal serieuze kwetsbaarheden die potentieel kunnen leiden tot het uitvoeren van ongeautoriseerde code via de root user. Voor meer informatie zie de GLSA Aankondiging JunkBuster: Meerdere kwetsbaarheden JunkBuster is gevoelig voor een heap corruption kwetsbaarheid die aanvallers toelaat om instellingen te wijzigen onder bepaalde configuraties. Voor meer informatie zie de GLSA Aankondiging rsnapshot: Local privilege escalatie rsnapshot laat het toe dat lokale gebruikers 'ownership' kunnen opeisen van lokale bestanden, wat kan leiden tot een privilege escalatie. Voor meer informatie zie de GLSA Aankondiging OpenOffice.Org: DOC document Heap Overflow OpenOffice.Org is gevoelig voor een heap overflow bij het verwerken van DOC documenten, wat kan leiden tot het uitvoeren van ongeautoriseerde code. Voor meer informatie zie de GLSA Aankondiging monkeyd: Meerdere kwetsbaarheden Format string en Denial of Service kwetsbaarheden zijn ontdekt in de monkeyd HTTP server die potentieel kunnen leiden tot het uitvoeren van ongeautoriseerde code. Voor meer informatie zie de GLSA Aankondiging Enkele kwetsbaarheden zijn gevonden en gefixt in PHP image handling functies die potentieel kunnen leiden tot een Denial of Service of op afstand uitvoeren van ongeautoriseerde code. Voor meer informatie zie de GLSA Aankondiging Een aantal serieuze kwetsbaarheden zijn gevonden in CVS die toelaten dat een aanvaller op afstand de CVS server kan beinvloeden of die een DoS kunnen veroorzaken. Voor meer informatie zie de GLSA Aankondiging Meerdere kwetsbaarheden zijn gevonden in XV die potentieel kunnen leiden tot het uitvoeren van ongeautoriseerde code. Voor meer informatie zie de GLSA Aankondiging Mozilla Firefox, Mozilla Suite: Meerdere kwetsbaarheden De nieuwste Mozilla Firefox en Mozilla Suite releases repareren enkele nieuwe kwetsbaarheden, waaronder 'memory disclosure' en diverse manieren om JavaScript code uit te voeren met verhoogde privileges. Voor meer informatie zie de GLSA Aankondiging MPlayer: Twee heap overflow kwetsbaarheden Twee kwetsbaarheden zijn gevonden in MPlayer die gebruikt kunnen worden voor het uitvoeren van ongeautoriseerde code op afstand. Voor meer informatie zie de GLSA Aankondiging openMosixview: Onveilig tijdelijk bestand openMosixview en de openMosixcollecter deamon zijn gevoelig voor symlink aanvallen waardoor potentieel een lokale gebruiker ongeautoriseerd bestanden kan overschrijven. Voor meer informatie zie de GLSA Aankondiging RealPlayer, Helix Player: Buffer overflow kwetsbaarheid RealPlayer en Helix Player zijn kwetsbaar voor een buffer overflow die kan leiden tot het uitvoeren van ongeautoriseerde code op afstand. Voor meer informatie zie de GLSA Aankondiging KDE kimgio: PCX handling buffer overflow KDE slaagt er niet in om fatsoenlijk input te valideren bij het verwerken van PCX afbeeldingen, wat potentieel kan leiden tot het uitvoeren van ongeautoriseerde code. Voor meer informatie zie de GLSA Aankondiging Kommander: Onveilig uitvoeren van scripts over afstand Kommander voert scripts over afstand uit zonder confirmatie, wat kan leiden tot het uitvoeren van ongeautoriseerde code. Voor meer informatie zie de GLSA Aankondiging De Gentoo community gebruikt Bugzilla ( bugs.gentoo.org) om bugs te melden en op te volgen. Tussen 17 april 2005 en 24 april 2005 leidde de activiteit op de site tot:
Van de 8497 huidige openstaande bugs zijn er 89 gemarkeerd als 'blocker', 231 als 'critical' en 628 als 'major'. De ontwikkelaars en teams die het meest aantal bugs gesloten hebben in deze periode zijn:
De ontwikkelaars en teams die het meest aantal bugs toegewezen zijn deze week zijn:
Stuur ons je reacties op de Gentoo Wekelijkse Nieuwsbrief en help ons om de GWN nog beter te maken. Om je te abonneren op de Gentoo Wekelijkse Nieuwsbrief stuur je een email met lege inhoud naar gentoo-gwn-nl-subscribe@gentoo.org. Om je abonnement op de Gentoo Wekelijkse Nieuwsbrief op te zeggen stuur je een email met als afzender het email adres waarmee je een abonnement hebt aangevraagd en met lege inhoud naar gentoo-gwn-nl-unsubscribe@gentoo.org. De Gentoo Wekelijkse Nieuwsbrief is ook beschikbaar in de volgende talen:
|
|
