Gentoo Weekly Newsletter: 10 stycznia 2005

1.  Wiadomości Gentoo

Nadużycia na Forum: dodano wizualne potwierdzanie rejestracji

W ostatnim tygodniu grudnia ubiegłego roku, intruz zarejestrował na forum około 8,500 kont z ponad 160 hostów w mniej niż godzinę. W czasie, gdy administratorzy pracowali nad rozwiązaniem tego problemu, użytkownicy zgłosili kolejne masowe zakładanie kont. Kilka godzin później usunięto 15696 kont, pozbywając się przy okazji innych, od dawna nie używanych.

Aby zapobiec powtórzeniu masowych rejestracji, do procesu zakładania konta dodano wizualne potwierdzenie. Funkcję tę zaimplementowano po raz pierwszy w rozwojowych wersjach phpBB 2.2, jednak odpowiednie łatki udało się zaaplikować także w zmodyfikowanej wersji 2.0.11, używanej przez forums.gentoo.org.

Stabilne jądro 2.6.10

Kiedy to czytasz, wersja 2.6.10 pakietu gentoo-dev-sources jest oznaczona jako stabilna lub znajduje się w fazie ostatnich testów na obsługiwanych architekturach. Wydanie z wigilii świąt Bożego Narodzenia udowadnia że jest najlepszą wersją Linuksa od bardzo dawna; poprawiono niemal wszystkie błędy znane z 2.6.9 i poprzednich. Do tej pory zgłoszono stosunkowo niewiele nowych błędów, a najistotniejsze z nich już są poprawione. Użytkownikom serii 2.6 zalecamy jak najszybszą aktualizację, z uwagi na załatane 2.6.10 dziury w bezpieczeństwie.

2.  Rzut okiem w przyszłość

Co nas czeka w 2005 roku

Na liście dyskusyjnej gentoo-dev, menedżerowie projektów przedstawiają zadania, którymi zajmą się w nowym roku. Oto krótkie podsumowanie ich planów:

Zespół Release Engineering

• Półroczny cykl wydań: pierwsze z nich (2005.0) zostanie opublikowane w styczniu, a następne (2005.1) na przełomie lipca i sierpnia. Każde będzie zawierać płyty instalacyjne, stage oraz GRP.
• LiveCD: planowane jest zastąpienie obecnego uniwersalnego LiveCD przez przypominające Knoppiksa XLiveCD. LiveCD minimal pozostanie, jednak zmieni nazwę na InstallCD minimal.
• Gentoo Reference Platform (GRP): zespół Release Engineering we współpracy z projektem instalatora zamierza zmodyfikować GRP. Obecnie (plany mogą jeszcze ulec zmianie) zamierza użyć rozwiązania przypominającego quickpkg do tworzenia z pakietów zainstalowanych na XLiveCD nowych i kopiowania ich do instalowanego systemu.

Jądro

• Modyfikacja wszystkich ebuildów ze źródłami jądra, aby używały eclass kernel-2 oraz linux-*.
• Migracja nagłówków oraz źródel do serii 2.6 wszędzie, gdzie to możliwe.
• Uporządkowanie pakietów ze źródłami, na przykład zmiana nazwy dev-sources na vanilla-sources
• Dalsze usprawnienia obsługi alternatywnych jąder (BSD oraz Darwin) w obecnych eclassach

Gentoo/BSD

• Stworzenie jednego lub kilku stage instalacyjnych Gentoo/FBSD
• Stworzenie działającego baselayoutu.
• Stworzenie płyty instalacyjnej (tymczasem można korzystać z FreeSBIE)
• Sportowanie możliwie dużej ilości pakietów
• Zaaplikowanie w portage naszych niektórych, przeznaczonych dla *BSD, łatek
• Ukończenie naszego profilu, stabilizacja zestawu pakietów źródłowych

3.  Bezpieczeństwo Gentoo

LinPopUp: Przepełnienie bufora

LinPopUp jest podatny na przepełnienie bufora, umożliwiając wykonanie niepożądanego kodu.

Więcej informacji można znaleźć w komunikacie GLSA

a2ps: Kilka usterek

Należące do pakietu a2ps skrypty, fixps oraz psmandup, są podatne na ataki z użyciem odpowiednio przygotowanych dowiązań symbolicznych, umożliwiając lokalnym użytkownikom nadpisanie dowolnych plików. Usterka w obsłudze nazw plików w a2ps umożliwia ponadto wykonywanie niepożądanych poleceń.

Więcej informacji można znaleźć w komunikacie GLSA

Mozilla, Firefox, Thunderbird: Kilka usterek

W projektach opartych na Mozilli odkryto kilka usterek, począwszy na potencjalnym przepełnieniu bufora, poprzez ujawnianie zawartości plików tymczasowych, aż po wyciek informacji o istnieniu określonych plików.

Więcej informacji można znaleźć w komunikacie GLSA

Serwer Shoutcast: Zdalne wykonanie niepożądanego kodu

Serwer Shoutcast jest podatny na przepełnienie bufora, umożliwiające wykonanie niepożądanego kodu.

Więcej informacji można znaleźć w komunikacie GLSA

mit-krb5: Przepełnienie sterty w libkadm5srv

Biblioteka administracyjna MIT Kerberos 5 (libkadm5srv) zawiera błąd przepełnienia sterty, umożliwiający wykonanie niepożądanego kodu.

Więcej informacji można znaleźć w komunikacie GLSA

tiff: Kolejne przepełnienia podczas ładowania obrazów

W procedurach ładowania obrazów biblioteki TIFF oraz narzędzia tiffdump odkryto błędy, umożliwiające wykonanie niepożądanego kodu.

Więcej informacji można znaleźć w komunikacie GLSA

xine-lib: Kilka usterek

xine-lib zawiera kilka błędów przepełnienia, umożliwiających wykonanie niepożądanego kodu.

Więcej informacji można znaleźć w komunikacie GLSA

phpGroupWare: Kilka usterek

W phpGroupWare odkryto kilka błędów, mogących spowodować wyciek informacji lub zdalne włamanie.

Więcej informacji można znaleźć w komunikacie GLSA

xzgv: Kilka usterek

xzgv zawiera kilka błędów przepełnienia, umożliwiających wykonanie niepożądanego kodu.

Więcej informacji można znaleźć w komunikacie GLSA

Vilistextum: Błąd przepełnienia bufora

Vilistextum jest podatny na przepełnienie bufora, umożliwiające intruzowi wykonanie niepożądanego kodu przy użyciu specjalnie spreparowanej strony WWW.

Więcej informacji można znaleźć w komunikacie GLSA

4.  Społeczność Gentoo

Forum

Zniknięcie X powoduje niewielkie zamieszanie

Decyzja, aby delikatnie sugerować użytkownikom używanie xorg-x11 została podjęta już jakiś czas temu, pomimo to usunięcie XFree86 z Portage 1 stycznia niektórych niemile zaskoczyło. Oto reprezentacyjny wątek z wielu na ten temat:

• I refuse to use xorg....it sucks! (nevermind....user error)

Earthwings nowym globalnym moderatorem

Earthwings działał już od wielu miesięcy w forum niemieckojęzycznym, teraz jednak został awansowany i może zajmować się również pozostałymi działami:

• [forums-announce] New global moderator

gentoo-user

Osiąganie Sprzętowej Pełni Szczęścia?

Wielu użytkowników laptopów zmaga się z tym samym problemem: Posiadanie mobilnego komputera owocuje różnymi konfiguracjami. Większość z nich dotyczy sieci, na przykład w wyniku różnic między firmowym LANem a siecią w domu. Jednakże czasem problem dotyczy też sprzętu. Wiele laptopów posiada stacje dokujące z dodatkowymi kartami sieciowymi, graficznymi, a nawet kontrolerami SCSI. Przedstawia to problem charakterystyczny tylko dla użytkowników Linuksa, ponieważ zwykle większość ustawień jest wpisanych na stałe do plików w katalogu /etc. Jeśli jesteś ciekaw jak trafić do raju dla urządzeń przenośnych, czytaj dalej.

• gentoo and "rc hell"?

Spór o Basha

Cóż może być bardziej charakterystycznego dla Linuksa niż spór o właściwy sposób skasowania wielu plików z katalogu? Można przecież użyć xargs, find, a nawet... pętli for? W tym tygodniu trafił nam się pouczający wątek pełen zawziętych dyskusji.

• Bash query? 'Argument list too long'

"Monitorowanie" użycia procesora

Dla odmiany mamy nieco bardziej zabawną wiadomość niż zwykle. Jeden z członków listy dyskusyjnej wysłał "pomocny" link do artykułu na Newsforge, na temat programu monitorującego użycie procesora o nazwie "Hot Babe". My natomiast ograniczymy się tylko do wskazania czytelnikom rzeczonej dyskusji.

• Hot Babe and Debian (GENTOO :-)

gentoo-dev

RFC: Porady w sprawie ograniczenia czasów kompilacji

Stuart Herbert spytał jak ograniczyć czasy kompilacji. Przeczytaj wątek, aby dowiedzieć się jakie możliwości mamy do dyspozycji.

• RFC: Advice on driving compile times down

Koniec z xfree

Wraz z ukazaniem się tej wiadomości oficjalnie zaprzestano wsparcia dla xfree. Użytkownicy proszeni są o przerzucenie się na xorg.

• xfree gone

Stage instalacji 2.4. i 2.6 w wersji 2005.0

John Davis pyta w imieniu podprojektu Gentoo Releng jakie nagłówki i źródła jądra powinny być dostępne w stage instalacji 2005.0. Pisze: "Mamy do wyboru (a) tylko stage 2.6, (b) tylko stage 2.4, lub (c) oba." Z punktu widzenia wydania lepiej byłoby uwzględnić tylko jeden zestaw, jednakże wielu użytkowników wciąż potrzebuje jąder 2.4. Ten dość długi wątek odkrywa wiele drobnych problemów, które mogą się pojawić, a także pokazuje jak trudno jest uszczęśliwić wszystkich równocześnie.

• 2005.0 2.4 & 2.6 stages

gentoo-server

Na liście dyskusyjnej gentoo-server@gentoo.org, która zrzesza przede wszystkim ludzi nieużywających Gentoo do zastosowań desktopowych, pojawił się godny uwagi wątek. Wszystko zaczęło się od pytania: "Kto używa Gentoo w zastosowaniach produkcyjnych?".

• Who uses Gentoo in production?

5.  Gentoo International

USA: Wykłady o Gentoo na MIT, 10 i 24 stycznia

Rajiv Manglani, członek Gentoo Linux Security Team i deweloper PPC 10 stycznia wygłosi wykład będący wprowadzeniem do Gentoo Linux. Jego następny wykład, z 24.01.05, dotyczyć będzie zagadnień zaawansowanych. Oba odbędą się na Massachusetts Institute of Technology (początek o 20.00, budynek 4) i są sponsorowane przez Student Information Processing Board. Pierwszy wykład będzie miał na celu przybliżenie idei i zademonstrowanie najważniejszych cech dystrybucji. Natomiast tematyka drugiego dotyczyć będzie głównie zagadnień związanych z Portage i tworzeniem skryptów ebuild oraz narzędzi qpkg and etcat. Więcej szczegółów można znaleźć na stronie Independent Activities Period Gentoo lecture announcements Rajiva. Jeśli zamierzasz uczestniczyć to skontaktuj się jak najszybciej z Student Information Board.

Kanada: Projekt Gentoo LTSP w szkole podstawowej

Prairie Linux User Group (PLUG) planuje wdrożenie Gentoo Linux w Szkole Podstawowej Świętego Krzyża (Holy Cross Elementary School) w Winnipeg. Użyty zostanie sprzęt, na którym do niedawna zainstalowane były rożne wersje Windows. Z powodu kosztów nowych wersji, problemów z bezpieczeństwem i rosnącymi wymaganiami sprzętowymi zastępowane są one przez Linuksa. W ramach instalacji uruchomiony zostanie Linux Terminal Server Project (LTSP, Linuksowy Projekt Serwera Terminali) na 30 stacjach roboczych. Na kilku maszynach działających pod kontrolą Gentoo pracować będzie openmosix zapewniający obsługę terminali. W czwartek 20 stycznia członkowie PLUG spotkają się na Uniwersytecie Winnipeg (początek o 19.00 w pokoju 2M70) by doprecyzować szczegóły przed przeprowadzeniem testów w niedzielę 23 stycznia o godzinie 10. Trzydziestu uczniów zostało zaproszonych do pomocy przy testach obciążeniowych systemu. "Jeśli testy się powiodą i system spełni oczekiwania, to zostanie tam na dłużej" mówi Mike Crawford, przyszły deweloper dev-perl, opiekujący się jednym z serwerów lustrzanych Gentoo (gentoo.eliteitminds.com). Więcej szczegółów można znaleźć w ogłoszeniu o zebraniu PLUG.

6.  Gentoo w prasie

Linux Journal (5 stycznia 2005)

Linux Journal opublikował niedawno dość pochlebny artykuł Andrew Cowie, pod tytułem "Gentoo for all the unusual reasons", w którym autor szczegółowo omawia Portage jako narzędzie do profesjonalnych zastosowań: "Można myśleć o Gentoo jako o będącej na czasie dystrybucji dla deweloperów, ale prosty system zarządzania pakietami sprawia, iż jest ona dobrym wyborem do każdego systemu produkcyjnego, który trzeba uaktualniać", pisze autor we wstępie. Następnie omawia bardzo szczegółowo proces instalacji i aktualizacji oprogramowania w Gentoo, ilustrując tekst zrzutami ekranu. Ten rzetelnie napisany artykuł był w czołówce najchętniej czytanych na Linux Journal, oraz w zeszłym tygodniu cieszył się największą liczbą komentarzy - nawet nie uwzlędniając dodatkowego napływu czytelników, jaki spowoduje niniejsza publikacja w GWN...

7.  Bugzilla

Spis treści

• Statystyki
• Zamknięte Bugi
• Nowe Bugi

Statystyki

Społeczność Gentoo używa Bugzilli (bugs.gentoo.org) do zgłaszania i śledzenia błędów, ogłoszeń, sugestii oraz innych form kontaktu z deweloperami. Pomiędzy 02 stycznia 2005 a 09 stycznia 2005, aktywność w serwisie przedstawiała się następująco:

• zgłoszono 815 nowych bugów
• zamknięto lub rozwiązano 528 bugów
• 23 uprzednio zamkniętych bugów zostało ponownie otwartych

Spośród 7862 obecnie otwartych bugów: 117 oznaczono jako 'blocker', 229 jako 'critical', a 568 jako 'major'.

Zamknięte Bugi

Deweloperzy oraz zespoły, które zamknęły najwięcej bugów w minionym tygodniu, to:

• Gentoo's Team for Core System packages, 32 bugów
• Java team, 26 bugów
• AMD64 Porting Team, 26 bugów
• media-video herd, 25 bugów
• Gentoo Games, 21 bugów
• Gentoo X-windows packagers, 15 bugów
• Gentoo Security, 15 bugów
• Tim Yamin, 13 bugów

Nowe Bugi

Deweloperzy oraz zespoły, którym przypisano najwięcej nowych bugów w minionym tygodniu, to:

• Gentoo Sound Team, 30 bugów
• AMD64 Porting Team, 21 bugów
• media-video herd, 20 bugów
• optical media herd, 19 bugów
• Gentoo X-windows packagers, 17 bugów
• Gentoo Linux Gnome Desktop Team, 14 bugów
• Gentoo's Team for Core System packages, 11 bugów
• Gentoo VMWare Bug Squashers, 10 bugów

8.  Odeszli, przybyli, zmienili status

Odeszli

Następujący deweloperzy opuścili projekt Gentoo Linux w minionym tygodniu:

• nikt w tym tygodniu

Przybyli

Następujący deweloperzy przyłączyli się do projektu Gentoo Linux w minionym tygodniu:

• Benedikt Böhm (hollow) - Apache
• Saleem Abdulrasool (compnerd) - Java

Zmienili status

Następujący deweloperzy zmienili w minionym tygodniu pełnioną w projekcie Gentoo Linux funkcję:

• Lance Albertson (Ramereth) - New dev for netmon et al. (on top of his regular assignment to the infrastructure team)
• Danny Van Dyk (Kugelfang) and Mike Doty (KingTaco) - AMD64 operational co-leads (taking over from Travis Tilley)
• Jeremy Huddleston (eradicator) - Recruiting co-lead

9.  Sztuczki i kruczki

Denu - generator menu dla menedżerów okien

Często przełączasz się pomiędzy Fluxboxem, Gnome i KDE? Chciałbyś wypróbować jeszcze więcej menedżerów okien, gdyby nie trzeba było za każdym razem dopisywać używanych programów do ich menu? W tym tygodniu przedstawiamy sprytne rozwiązanie: Denu to nowe narzędzie pomocne w generowaniu menu o podobnej strukturze dla różnych menedżerów okien, ułatwiające przełączanie się między nimi. Denu synchronizuje się z bazą danych online, aby wpisy były zawsze aktualne. Najlepsze jest to, że Portage samo dostarcza mu informacji o zainstalowanych programach!

# cd $PORTDIR_OVERLAY/x11-misc/denu Stwórz odpowiedni "overlay" jeśli go nie masz (Denu jeszcze nie jest dostępne w Portage)
# wget http://dl.sourceforge.net/sourceforge/denu/denu-2.1.2-r1.ebuild
# emerge denu

Zanim przejdziemy dalej zrób kopię zapasową wszystkich konfiguracji menu, których nie chcesz nadpisać. Następnie uruchom denu jako zwykły użytkownik, Denu nie powinno być uruchamiane z konta root.

Ilustracja 9.1: Tworzenie menu

Pierwszym krokiem po instalacji Denu jest wykonanie Update (aktualizacji definicji programów) oraz Sysupdate (aktualizacji listy zainstalowanych programów). Żadne z tych poleceń nie jest uruchamiane automatycznie, więc po instalacji jakiegoś programu przez Portage, musisz wykonać Sysupdate ponownie.

Są dwa sposoby tworzenia menu: ręczne wybieranie wpisów z listy zainstalowanych programów lub wykonanie Autofill, czyli automatycznej generacji menu opartej na dostępnych danych. Reorganizacja menu jest prosta jak technologia przeciągnij i upuść. Większość systemów menu uzna ustaloną kolejność pozycji, za wyjątkiem Gnome oraz KDE, które posortują je alfabetycznie. Kliknij generate i przycisk odpowiadający docelowemu menedżerowi okien lub biurka. Niektóre menedżery, na przykład Fluxbox, automatycznie wykryją nowe menu, inne będziesz musiał odpowiednio skonfigurować lub zrestartować.

Denu wciąż jest w fazie rozwoju, aczkolwiek jego autor, Shux, przejrzał połowę drzewa Portage w poszukiwaniu elementów, które można dopisać do menu. Aby umożliwić korzystanie z drugiej połowy (lub programów które jeszcze nie zostały dodane), Denu zawiera narzędzie służące do dopisywania nowych elementów do swojej bazy danych. Z jego pomocą, dodawanie programów, kategorii, opisów itd. jest bardzo proste. Wiele pytań oraz odpowiedzi możesz znaleźć w popularnym na forum wątku, Denu 2.0 - GUI based menu editing.

10.  Twój wkład w GWN

Jesteś zainteresowany współpracą w tworzeniu Gentoo Weekly Newsletter? Wyślij nam e-mail.

11.  Opinie czytelników

Jeśli chcesz, aby ten magazyn był jeszcze lepszy, podziel się z nami swoją opinią na jego temat.

12.  Lista dyskusyjna GWN

Aby zapisać się na listę dyskusyjną Gentoo Weekly Newsletter, wyślij pusty e-mail na adres gentoo-gwn-subscribe@gentoo.org.

Aby się z niej wypisać, wyślij pusty e-mail na adres gentoo-gwn-unsubscribe@gentoo.org z konta, na które jest zasubskrybowana.

13.  Inne języki

Gentoo Weekly Newsletter jest dostępny w następujących językach:

• angielskim
• duńskim
• francuskim
• hiszpańskim
• holenderskim
• japońskim
• niemieckim
• polskim
• portugalskim (Brazylia)
• portugalskim (Portugalia)
• rosyjskim
• tureckim
• włoskim