Rekrutacja do zespołu bezpieczeństwa
Bezpieczeństwo było w Gentoo zawsze stawiane na pierwszym miejscu. W związku z chęcią zachowania jakości i poziomu bezpieczeństwa rozpoczęto poszukiwania osób chętnych do rozpoczęcia współpracy, zarówno wśród obecnych jak i przyszłych deweloperów. Działania te mają na celu przeciwdziałać potencjalnym problemom, które powodują opóźnienia w łataniu błędów związanych z bezpieczeństwem. Do głównych przyczyn można zaliczyć brak lub nieaktywność opiekuna danego pakietu oraz mała liczba koordynatorów GLSA. Inne rejony, które potrzebują większej uwagi to projekt KISS (kernel security advisory system) oraz integracja glsa-check w Portage. Każdego zainteresowanego rozpoczęciem współpracy zachęcamy do kontaktu z jednym z niżej wymienionych koordynatorów:
Uwaga: Więcej szczegółów można znaleźć w raporcie z ostatniego spotkania zespołu ds. bezpieczeństwa. |
Zmiana kategorii na Bugzilli dla projektu instalatora
Opiekunowie serwisu bugs.gentoo.org usunęli stary komponent „Gentoo Linux Installer”, znajdujący się wewnątrz kategorii „Gentoo Linux” i zastąpili go nowym. Nosi on nazwę „Installer” i mieści się wewnątrz podkategorii "Gentoo Release Media". Wszystkie raporty o błędach zostały już przeniesione w nowe miejsce. Użytkowników, którzy będą zgłaszać nowe bugi prosimy o ich umieszczenie już w nowej lokalizacji.
Ruby on Rails 1.1 RC1 w Portage
Pierwsze wydanie RC Ruby on Rails 1.1 właśnie znalazło się w drzewie Portage. Dla użytkowników korzystających z testowej gałęzi najnowsza wersja zostanie zainstalowana bez usuwania poprzedniej. Zapewni to możliwość korzystania jednocześnie z jednej i drugiej. Wersje w Portage zakończone są .4008, co oznacza numer z repozytorium SVN dla wersji 1.1_RC1.
Zachęcamy użytkowników zainteresowanych przetestowaniem i używaniem nowej wersji by to zrobili. W przypadku napotkania jakichkolwiek problemów prosimy o wysłanie odpowiedniego raportu na bugzille lub bezpośrednio twórcom aplikacji -- http://dev.rubyonrails.org. Każdego zainteresowanego tym by aplikacje wymagały konkretnej wersji prosimy o zapoznanie się z następującymi dokumentami (język angielski):
Kłopoty ze strefą czasową
Strefa czasowa w Gentoo nie została zaktualizowana by uwzględnić przesunięcie daty zmiany czasu zimowego na letni w kilku australijskich stanach spowodowane odbywającymi się w tym tygodniu Commonwealth Games. Zachęcamy każdego kogo dotyczy ten problem do uważnego przyglądnięcia się wątkowi, jest tam zaproponowane stosowne rozwiązanie:
Gry w Gentoo
Czy gry w Gentoo są bezpieczne? Ostatnio odkryte problemy związane z NetHackiem były powodem do rozpoczęcia gorącej dyskusji zwłaszcza że usterki nie były spowodowane z samym kodem gry, a z metodą instalacji używaną w Gentoo. Inne dystrybucje nie miały podobnego problemu. Czy sposób instalacji i dostęp do gier powinien się zmienić w Gentoo, czy grupa „games” powinna być zastąpiona innym mechanizmem. Zachęcamy każdego do wzięcia udziału w dyskusji i podzielenia się własnymi przemyśleniami na ten temat.
ZDNet France (20 marca 2006, język francuski)
„Renaissance” to tytuł wyreżyserowanego przez Christiana Volckmana filmu animowanego, którego akcja dzieje się w Paryżu w roku 2054. Młoda kobieta-naukowiec zostaje porwana, a tajemniczy policjant próbuje ją ratować. Mimo iż w produkcji tego „animowanego Matriksa” brali udział aktorzy, to ich rola ograniczyła się do nagrania ruchów, które potem zostały przełożone na generowane komputerowo czarno-białe obrazy -- renderowanie odbywało się dzięki klastrowi składającego się z 200 serwerów pracujących pod kontrolą systemu Gentoo Linux. Francuskojęzyczna część portalu ZDNet opublikowała artykuł napisany na podstawie wywiadu z Julienem Doussot. Jest on kierownikiem technicznym „Attitude Studio”, zespołu odpowiedzialnego za powstanie filmu. Samo dzieło można oglądać we francuskich kinach już od zeszłego tygodnia.
„Dystrybucja pełna mocy”, oto jak Joseph Quigley określa system Gentoo Linux w swoim artykule, który został w zeszły wtorek dodany do serii „My Desktop OS" serwisu Newsforge. Pomimo iż Joseph używa Gentoo na, jak sam mówi, "kiepskim sprzęcie”, wciąż jest pod wrażeniem faktu, że „może oglądać film na DVD i kompilować KDE, doświadczając bardzo niewielu spowolnień pracy systemu”. Wprawdzie niektórzy mogą nie zgodzić się, że komputer z procesorem Sempron 2300 1.58GHz, posiadający 512MB RAM to słaby sprzęt, ale, jak mówi Quigley „jeśli ktoś posiada szybszy komputer, też nie będzie zawiedziony”.
4. Zmiana statusu deweloperów Gentoo
Następujący deweloperzy opuścili projekt Gentoo Linux w minionym tygodniu:
Następujący deweloperzy przyłączyli się do projektu Gentoo Linux w minionym tygodniu:
Następujący deweloperzy zmienili w minionym tygodniu pełnioną w projekcie Gentoo Linux funkcję:
PeerCast: Przepełnienie bufora
PeerCast zawiera usterkę przepełnienia bufora, która może zostać wykorzystana do wykonania niepożądanego kodu.
Więcej informacji można znaleźć w komunikacie GLSA
Pngcrush: Przepełnienie bufora
Pngcrush zawiera usterkę przepełnienia bufora, która może zostać wykorzystana do wykonania niepożądanego kodu.
Więcej informacji można znaleźć w komunikacie GLSA
cURL/libcurl: Przepełnienie bufora przy przetwarzaniu URL-i TFTP
libcurl zawiera usterkę przepełnienia bufora w metodach przetwarzających URL-e protokołu TFTP, która może zostać wykorzystana do wykonania ataku na system użytkownika.
Więcej informacji można znaleźć w komunikacie GLSA
Macromedia Flash Player: Wykonanie niepożądanego kodu
Macromedia Flash Player zawiera wiele usterek, które umożliwiają wykonanie niepożądanego kodu w systemie użytkownika przetwarzającego spreparowane pliki SWF.
Więcej informacji można znaleźć w komunikacie GLSA
Sendmail: Usterka race condition w obsłudze asynchronicznych sygnałów
Sendmail jest podatny na atak typu race condition umożliwiający wykonanie niepożądanego kodu w uprawnieniami sendmail.
Więcej informacji można znaleźć w komunikacie GLSA
PHP: Usterki format string i XSS
PHP zawiera wiele usterek, które umożliwiają zdalnemu napastnikowi na wstrzyknięcie nagłówków HTTP, wykonanie ataku cross-site scripting lub w niektórych przypadkach wykonanie niepożądanego kodu.
Więcej informacji można znaleźć w komunikacie GLSA
NetHack, Slash'EM, Falcon's Eye: Lokalne przekroczenie uprawnień
NetHack, Slash'EM i Falcon's Eye zawierają usterkę przekroczenia uprawnień, która może zostać wykorzystana przez innego lokalnego użytkownika do wykonania niepożądanego kodu z prawami innego użytkownika.
Więcej informacji można znaleźć w komunikacie GLSA
RealPlayer: Przepełnienie bufora
RealPlayer zawiera usterkę przepełnienia bufora, która może zostać wykorzystana do wykonania niepożądanego kodu.
Więcej informacji można znaleźć w komunikacie GLSA
Społeczność Gentoo używa Bugzilli (bugs.gentoo.org) do zgłaszania i śledzenia błędów, ogłoszeń, sugestii oraz innych form kontaktu z deweloperami. Pomiędzy 19 marca 2006, a 26 marca 2006 aktywność w serwisie przedstawiała się następująco:
Spośród 9756 obecnie otwartych bugów: 66 oznaczono jako 'blocker', 150 jako 'critical', a 536 jako 'major'.
Deweloperzy oraz zespoły, które zamknęły najwięcej bugów w minionym tygodniu, to:
Deweloperzy oraz zespoły, którym przydzielono najwięcej bugów w minionym tygodniu, to:
Jeśli chcesz, aby Tygodnik Gentoo był jeszcze lepszy, podziel się z nami swoją opinią na jego temat. Uwagi dotyczące tłumaczenia można zgłaszać na adres koordynatora.
8. Subskrypcja Tygodnika Gentoo
Aby zaprenumerować Tygodnik Gentoo, należy wysłać pustego e-maila na adres gentoo-gwn-pl+subscribe@gentoo.org.
Aby zrezygnować z subskrypcji, należy wysłać pustego e-maila na adres gentoo-gwn-pl+unsubscribe@gentoo.org z konta, na które jest zarejestrowana.
Tygodnik Gentoo jest dostępny w następujących językach: