Notícias Semanais Gentoo (Gentoo Weekly Newsletter): 30 de Dezembro, 2002

1.  Notícias Gentoo

Sumário

• Gentoo vai estar na LinuxWorld Expo em Janeiro
• Programa de lançamentos do Gentoo Linux 1.4 e actualização de potencialidades
• Gentoo Linux 1.4_rc2 vai ser lançado em 31 de Dezembro
• Nova estratégia para desenvolvimento do kernel
• Novo processo formal para organização de lançamentos

Gentoo vai estar na LinuxWorld Expo em Janeiro

Daniel Robbins e outros membros da equipa do Gentoo Linux team vão estar na LinuxWorld Expo, de 22 a 24 de Janeiro em Nova Iorque. Eles estarão à frente do balcão nº8 no pavilhão .org e esperam ter uma exposição impressionante de hardware gráfico a mostrar o Gentoo Linux. Se está na área, apareça e demonstre o seu suporte ao Gentoo Linux!

Programa de lançamentos do Gentoo Linux 1.4 e actualização de potencialidades

Daniel Robbins anunciou recentemente o programa de lançamentos planeado para o Gentoo 1.4_rc3, que esperamos vir s ser lançado como Gentoo 1.4_final. Apesar de o programa corrente estar sujeito a alterações por causa de bugs e feedback dos utilizadores, a próxima data de lançamento programada é 14 de Janeiro de 2003, mesmo a tempo para a Linux World 2003 em Nova Iorque. Uma novidade Gentoo é um processo de lançamentos mais formalizado, composto por cinconníveis principais, que trazem o 1.4_rc3/1.4_release candidate através de um processo de testes e controlo de qualidade que esperamos melhorar a qualidade e estabilidade do sistema final.

1.4_final vai ter os melhoramentos introduzidos no rc1 e rc2 e também acrescentar:

• Suporte para Xft2 completamente integrado
• Novo layout de base para remover a dependência do tmpfs
• conjunto de packages GRP expandido
• suporte opcional integrado para pré-ligação (prelink)

Gentoo Linux 1.4_rc2 vai ser lançado em 31 de Dezembro

O último candidato a lançamento antes da versão final do Gentoo Linux 1.4 tem o seu lançamento programado para 31 de Dezembro. Como vários utilizadores do Gentoo já descobriram, a maior parte dos ficheiros do 1.4_rc2 já foram postos no ibiblio. Alterações de última hora à rc2 que ainda não estavam prontas na finalização incluem alguns retoques aos CDs de instalação (LiveCDs) e à documentação. Novidades na versão 1.4_rc2:

• O primeiro lançamento da Gentoo Reference Platform (GRP) -- uma colecção de ebuilds testados especificamente para estabilidade.
• Novos LiveCDs com mais suporte de hardware, melhor tecnologia e aspecto visual.
• Versões actualizadas do gcc, binutils, portage e vários outros pacotes.

Nova estratégia para desenvolvimento do kernel

Daniel Robbins propôs recentemente uma nova estratégia para desenvolvimento do kernel para o Gentoo, sendo um dos objectivos principais melhorar o suporte de hardware e a estabilidade dos kernels utilizados no projecto Gentoo. Como parte desta estratégia, o Gentoo iria tomar partido de muitos dos patches de hardware que entram na árvore do kernel RedHat, dado que a maior parte dos fabricantes se dirigem à RedHat como a sua única/primária parceria Linux. Além de tomar partido do suporte de hardware melhorado na árvore do kernel da RedHat, os utilizadores do Gentoo também seriam beneficiados com potencialidades e funcionalidades adicionais que normalmente não se encontram no kernel da RedHat, incluindo XFS, EVMS e Win4Lin, assim como tantas outras. Além disto, os caminhos da gentoo-sources e da xfs-sources iriam provavlmente divergir um pouco, dado que a gentoo-sources foca mais em boas performances e o intuito da xfs-sources é manter boa compatibilidade de hardware e funcionalidades do kernel.

Novo processo formal para organização de lançamentos

Como parte do processo de lançamento da versão 1.4, Daniel Robbins propôs uma Organização de Lançamentos formal para garantir que toda a equipa de desenvolvimento Gentoo sabe qual é o processo e respectivo programa para lançamentos futuros. Um dos componentes-chave para a nova política é uma migração de mudança de um esquema com apenas um "release manager", onde está uma pessoa a gerir tudo, para um "release process" (programa de lançamentos) onde toda a equipa ajuda a gerir o lançamento, baseada num conjunto comum de instruções. Num nível mais elevado, o novo Programa de Lançamentos consiste em 5 passos:

• Decisão Inicial -- A decisão própriamente dita de lançar uma nova versão do Gentoo Linux
• Fase de Upgrade aos Pacotes -- Um período de tempo (normalmente 2 semanas), durante o qual os programadores têm como objectivo mover pacotes de um estado instável (escondido) para um estado estável (visível).
• Build e Testes -- Os builders designados para cada arquitectura constroem um conjunto de tarballs so vários níves (stages) para "CPU genérico" utilizando um snapshot corrente da Portage
• Lançamento do Build e Teste -- Começa a aparecer um esforço distribuído para preparar o novo lançamento do Gentoo Linux (ou candidato a lançamento), incluindo os conjuntos de pacotes GRP.
• Lançamento -- A nova versão do Gentoo Linux é lançada à comunidade Gentoo

2.  Segurança Gentoo

Sumário

• GLSA: openldap
• GLSA: cyrus-imapd
• GLSA: cyrus-sasl
• GLSA: KDE-3.0.x
• GLSA: canna
• GLSA: wget
• GLSA: perl
• Novos Avisos de Bugs de Segurança

GLSA: openldap

Existem vários buffer overflows e outros bugs que podem permitir a um atacante remoto acesso a sistemas que estejam a correr servidores LDAP vulneráveis.

• Severidade: alta - potencial execução remota de código arbitrário.
• Pacotes Afectados: openldap-2.0.25-r2
• Rectificação: Sincronizar e fazer emerge ao cyrus-sasl.
• Anúncio do GLSA
• Aconselhamento

GLSA: cyrus-imapd

A implementação do Sieve da Cyrus contém um par de buffer overflows clássicos, baseados em strings, no código de parsing. Qualquer pessoa que possa executar scripts Sieve pode aproveitar-se destes bugs. As versões até à libSieve 2.1.2 e Cyrus IMAP 2.1.10 estão afectadas.

• Severidade: alta - alta - potencial execução remota de código arbitrário.
• Pacotes Afectados: cyrus-imapd 2.1.10 e anteriores
• Rectificação: Sincronizar e fazer and emerge ao cyrus-imapd.
• Anúncio do GLSA
• Aconselhamento

GLSA: cyrus-sasl

Verificações insuficientes em comprimentos de buffers na canonização de nomes de utilizadores podem permitir a um atacante executar código arbitrário em servidores que estejam a correr a biblioteca Cyrus SASL.

• Severidade: alta - potencial execução remota de código arbitrário.
• Pacotes Afectados: cyrus-sasl 2.1.9
• Rectificação: Sincronizar e fazer emerge ao cyrus-sasl.
• Anúncio GLSA
• Aconselhamento

GLSA: KDE-3.0.x

O KDE-3.0.x falha algumas vezes ao acrescentar plicas e aspas em chamadas à shell. Isto significa que um e-mail/página web cuidadosamente preparado pode permitir a um atacante passar comandos arbitrários usando os previlégios de sistema da vítima. Existem exploits conhecidos.

• Severidade: alta - potencial execução remota de código arbitrário.
• Pacotes Afectados: kde-3.0.4 e anteriores na série kde-3.x.
• Rectificação: Sincronizar e fazer emerge ao kde.
• Anúncio GLSA
• Aconselhamento

GLSA: canna

O servidor canna em versões 3.6 e anteriores tem um heap overflow que permite um exploit remoto que já foi demonstrado, mas ainda não encontrado espalhado. Além disso, o referido servidor não valida certos pedidos.

• Severidade: média a alta - ataques DoS e exposição de informação, exploits remotos permitem execução com os mesmos previlégios do servidor canna.
• Pacotes Afectados: canna-3.6
• Rectificação: Sincronizar e fazer emerge ao canna.
• Anúncio do GLSA
• Aconselhamento

GLSA: wget

O wget pode permitir a um operador maligno de um site ftp escrever por cima de certos ficheiros-chave e potencialmente ganhar previlégios no computador-alvo, substituindo ficheiros executáveis. Não foram ainda relatados casos.

• Severidade: média - DoS e exploits remotos atenuadas pelo requerimento da participação da vítima.
• Pacotes Afectados: wget-1.8.2-r1 e anteriores
• Rectificação: Sincronizar e fazer emerge ao wget.
• Anúncio do GLSA

GLSA: perl

O módulo Safe do Perl (Safe.pm) expõe uma vulnerabilidade potencial em que, se um compartimento seguro é reutilizado, deixa de ser seguro (devido a não ser possível alterar as "operation masks").

• Severidade: média - relativamente obscuro e requer código que reutilize compartimentos seguros.
• Pacotes Afectados: perl-5.8.0-r5 e anteriores
• Rectificação: Sincronizar e fazer emerge ao perl ou (menos drástico) emerge Safe.
• Anúncio do GLSA
• Aconselhamento

Novos Anúncios de Bugs de Segurança

Na semana passada não existiram bugs de segurança significativos introduzidos no bugzilla. Portanto, iremos usar esta secção para fornecer um sumário dos bugs de segurança de momento abertos no sistema (gostaríamos de fazer notar que a maioria destes "bugs" já foram corrigidos em pacotes que estão em testes, aos quais podem fazer unmask e emerge.

• evolution
• glibc
• freeswan
• cyrus-imap
• openldap
• cyrus-sasl
• libpng
• cups

3.  Coisas Ouvidas Na Comunidade

Fóruns Web

Forums Foram Abaixo - Novamente On-Line

Nitro escreve que o backbone dos Fóruns, o servidor MySQL que faz a superfície do phpBB, esteve inacessível na véspera de Natal (provavelmente esteve a tomar um "eggnog" nalgum sítio quentinho e confortável). A demora de inacessibilidade foi causado quando um novo servidor que foi ligado crashou. Desde então, as coisas voltaram ao servidor antigo e o novo servidor está a ser sujeito a testes de stresse. Felizmente, não desapareceu nada, a base de dados inteira foi restaurada, e apenas as poucas pessoas que criaram contas novas durante o breve período de inacessibilidade terão que voltar a fazê-lo.

Alerta para o dual-boot!

As pessoas têm estado a desembrulhar os presentes de Natal, e esta pode muito bem ser a razão por detrás da onda corrente de configurações dual-boot reflectida nos fóruns. Pelo menos, esta é a impressão que se obtém do surto de actividade documentado nos threads seguintes. Para pessoas com planos de configurar o Gentoo numa configuração dual-boot com um sistema operativo antigo, estes são bons sítios para começar:

Utilizadores Do Gentoo Linux Em Todo O Lado

O que é que uma pessoa faz com um sistema Gentoo optimizado após todos os emerges estarem feitos? Formaram-se certos tópicos activos como centros para a organização de equipas Gentoo para projectos de computação distribuida tais como o SETI@home, o RC-5-72 da distributed.net's, Folding@home, e ClimatePrediction.Net. Com prioridades apropriadas, os clientes para esses projectos podem utilizar ciclos de CPU dos sistemas , fazendo trabalho (potencialmente) construtivo sem qualquer efeito adverso na performance. A equipa SETI@home é de momento a maior, com 85 utilizadores espalhados por todo o mundo e um tempo de CPU demarcado de 76 anos, mas a equipa Folding@home está também bastante activa. Para mais informação de como preparar os clientes, fazer parte das equipas, e os efeitos da participação no SETI@home na conta eléctrica de um utilizador entusiaste, entre outras coisas, vejam os threads seguintes:

• SETI: Gentoo Linux Users Everywhere (85 users)
• folding@home and Gentoo Linux Users Everywhere
• RC-5-72 started yesterday

gentoo-user

Gentoo vs. FreeBSD

O Portage, o sistema de gestão de pacotes do Gentoo, sem dúvida assemelha-se ao sistema de ports do FreeBSD. Portanto, qual é o melhor? Os entusiastas do Gentoo irão argumentar que novo é sempre melhor, como exemplificado pela evolução. Os leais ao FreeBSD fazem-nos lembrar o Marlon Brando n'O Padrinho, as coisas antes eram melhores. Mas realmente seria idiota tirar conclusões tão simples. O Charles Burns lançou uma resposta excelente, comparando os dois SOs. No que trata a sistemas desktop ou hardware menos conhecido, não há substituto par ao Gentoo.

Não tema o downgrade

  De vez em quando uma previsão de um emerge fará aparecer uma notificação de que vai fazer downgrade de um pacote importante. Por exemplo, fazer emerge ao edb pode fazer downgrade ao freetype, criando um medo instantâneo de perder aquelas fontes com bom aspecto. Não tema. Muitos pacotes coexistem facilmente uns com os outros e as versões novas não vão ser removidas após o "downgrade". Por exemplo, a Glib2 e a Glib1 também se portam bem no mesmo sistema. O Jeam Smith lançou uma sugestão que esperamos esclarecer esta confusão.

gentoo-dev

Lançamento Final do Gentoo?

M. Zuelsdorff escreveu para dizer: "Estou a seguir a discussãso no grupo gentoo-dev há mais de um ano. Tudo o que eu vejo é "um problema com isto" e "um problema com aquilo". Há alguns dias atrás, até apareceu algo que parecia estar "realmente fodido". A minha questão: Quando esperam que o Gentoo se torne um lançamento final utilizável? . A maior parte das respostas nesta thread concordam que a natureza humana pode ter um papel importante aqui e fazer-nos perder tempo a queixar-nos mais vezes do que a dizer que as coisas estão a funcionar. Arthur Britto entrou com: "Acabaste de realçar um dos maiores problemas com o Gentoo: descoberta e resolução de problemas manual. Quando um pacote dá de si, alguém tem que (1) manualmente descobri-lo, (2) pesquisar em mailing-lists pelo Gentoo e a aplicação, (3) pesquisar fóruns pelo Gentoo e a aplicação, (4) tentar diagnósticos razoáveis para se certificarem que o problema não é apenas o sistema deles, (5) se são competentes talvez tentem resolver o problema, e (6) partilhar o problema deles com a comunidade". Finalmente, o Daniel Robbins (Arquitecto-Chefe do Gentoo Linux) fechou a thread com os passos que estão a ser tomados para resolver a situação corrente.

Selector De Parâmetros USE.

John Nilsson escreveu um e-mail no qual expôs interesse em escrever um interface para escolher parâmetros USE e do GCC. Acontece que este interface já existe na forma de ufed e kportage. Mas, como sempre, com o software livre, há sempre espaço para melhorias! ;-)

4.  Gentoo Internacional

Mais Uma Documentação Sobre Linux Em Francês

A comunidade Francesa Gentoo está muito contente com um novíssimo guia de instalação e configuração da autoria de Christian Casteyde. Não exactamente construído directamente para Gentooístas (ele aparenta ser um homem de Slackware e SuSE), é uma documentação muito extensiva e actualidade, com um ênfase forte em funcionalidades adicionais do XFree86 4.x e do kernel 2.4.x. Ele chama-lhe Yet Another "Guide d'Installation de Linux", ou YAGIL, e certamente parece uma óptima razão para melhorar o nosso Francês.

Gentoo Shinnenkai - Festa De Ano Novo Em Gentoo-JP...

No que apenas pode ser chamado um esforço em fazer A Coisa Certa, os activitas Japonses do Gentoo chegaram a acordo numa data para a primeira reunião do ano de 2003. Com a localização precisa ainda a ser anunciada, todos os utilizadores e programadores do Gentoo do Japão presentes em Tóquio nessa data ir-se-ão encontrar em 17 de Janeiro de 2003, com início às 19:00. A maneira mais fácil de os informar da sua presença será provavelmente no canal de IRC, #gentoo-jp em irc.freenode.net, ou enviar um e-mail aos organizadores.

5.  Portage Watch

Actualizações De Segurança (ver acima)

• Perl - corrigido no perl-5.6.10-r10 / perl-5.8.0-r6 e seguintes
• wget - corrigido no in wget-1.8.2-r2 e seguintes
• canna - corrigido no canna-3.6-r1 e seguintes
• kde-3.0.x - corrigido no kde-3.0.5a e seguintes

Os pacotes estáveis seguintes foram adicionados ao Portage esta semana

• app-crypt/keylookup : "A tool to fetch PGP keys from keyservers." "http://www.palfrader.org/keylookup/"
• app-games/gnurobots : "Game/diversion where you construct a program for a little robot then set him loose and watch him explore a world on his own" "http://www.gnu.org/directory/games/gnurobots.html"
• app-games/gnushogi : "Japanese version of chess (commandline + X-Version)" "http://www.gnu.org/directory/games/gnushogi.html"
• dev-java/xdoclet : "A code-generation engine primarily for EJB" "http://xdoclet.sf.net/"
• dev-perl/File-Temp : "File::Temp can be used to create and open temporary files in a safe way." "http://www.cpan.org/modules/by-module/File/File-Temp-0.12.readme"
• dev-perl/Graph : "Graph is a module to create graphs." "http://www.cpan.org/modules/by-module/Graph/Graph-0.20101.readme"
• dev-perl/Heap : "Heap - Perl extensions for keeping data partially sorted." "http://www.cpan.org/modules/by-module/Heap/Heap-0.50.readme"
• dev-perl/MIME-Lite : "low-calorie MIME generator" "http://search.cpan.org/src/ERYQ/MIME-Lite-2.117.readme"
• dev-perl/SOAP-Lite : "Provides a simple and lightweight interface to the SOAP protocol (sic) both on client and server side." "http://cpan.valueclick.com/modules/by-module/SOAP/SOAP-Lite-0.55.readme"
• dev-perl/Text-Shellwords : "Provides shellwords() routine which parses lines of text and returns a set of tokens using the same rules that the Unix shell does." "http://www.cpan.org/modules/by-module/Text/Text-Shellwords-1.00.readme"
• dev-perl/Time-modules : "A Date/Time Parsing Perl Module" "http://www.cpan.org/modules/by-module/Time/MUIR/modules/Time-modules-2002.1001.readme"
• media-libs/lib3ds : "overall software library for managing 3D-Studio Release 3 and 4 .3DS files" "http://lib3ds.sourceforge.net/"
• media-libs/libjsw : "provide a uniform API and user configuration for joysticks and game controllers" "http://wolfpack.twu.net/libjsw/"
• media-sound/aseqview : "ALSA sequencer event viewer/filter." "http://www.alsa-project.org/~iwai/alsa.html"
• net-analyzer/wepattack : "WLAN tool for breaking 802.11 WEP keys" "http://wepattack.sourceforge.net/"
• net-misc/bwwhois : "Perl-based whois client designed to work with the new Shared Registration System" "http://whois.bw.org/"
• app-emacs/yc : "YC - Yet another Canna client on Emacsen." "http://www.ceres.dti.ne.jp/~knak/yc.html"

Actualizações a pacotes notáveis

• sys-apps/portage - portage-2.0.47_pre1.ebuild; portage-2.0.47_pre2.ebuild;
• kde-base/kde - kde-3.0.5a.ebuild;
• sys-kernel/* - development-sources-2.5.53.ebuild; lolo-sources-2.4.20.1_pre6.ebuild; lolo-sources-2.4.20.1_pre7.ebuild; lolo-sources-2.4.20.1_pre8.ebuild; openmosix-sources-2.4.20-r1.ebuild; usermode-sources-2.4.19-r36.ebuild; usermode-sources-2.4.19-r37.ebuild; usermode-sources-2.4.19-r38.ebuild; usermode-sources-2.4.19-r39.ebuild; usermode-sources-2.4.19-r40.ebuild; xfs-sources-2.4.20_pre1.ebuild; xfs-sources-2.4.20_pre2.ebuild;
• sys-devel/perl - perl-5.8.0-r7.ebuild;

6.  Bugzilla

Sumário

• Estatísticas
• Bugs Relevantes

Statistics

A comunidade Gento usa o Bugzilla (bugs.gentoo.org) para registar e fazer traçagem de bugs, notificações, sugestões e outras interacções com a equipa de desenvolvimento. Nos últimos 7 dias, a actividade no site resultou em:

• 190 bugs novos esta semana
• 1166 bugs no total correntemente marcados como 'novos'
• 535 bugs no total designados aos programadores
• 54 bugs que estavam fechados foram reabertos.

Os programadores e equipas com a maior carga aparente em relação a bugs são:

• Nicholas Jones, com 260 bugs abertos
• Martin Schlemmer, com 120 bugs abertos
• Brandon Low, com 105 bugs abertos
• The KDE Team, com 106 bugs abertos
• The Gnome Team, com 60 bugs abertos

Bugs Relevantes

Todas as semanas, iremos isolar alguns bugs para menção especial, que tenham estado a provocar discussões significativas, por serem particularmente problemáticos, engraçados ou simplesmente porque lhes achámos piada. Os bugs desta semana são (em nenhuma ordem especial):

• O bug 9459 discute problemas aparentes com corrupções de ficheiros intermitentes após um encerramento incorrecto em ReiserFS utilizando as Gentoo-Sources.
• O bug 12537 discute problemas com o a disposição-base (baselayout) que altera o gid do smmsp - que provoca problemas com o sendmail.
• O bug 8324 critica a falta de selecção de linguagens no teclado (para teclados não-EUA) no CD de instalação do candidato a lançamento 1.4. O Daniel Robbins indicou que estará resolvido no lançamento final.
• O bug 11384 discute um problema quando se compila a glibc usando o parâmetro -march=pentium4. Este problema está aparentemente inerente ao código corrente do gcc, e como tal não pode ser corrigido. No entanto, o bug é um exemplo excelente de interacção entre o relator do bug e o programador.
• O bug 9633 indica um problema a arrancar com o o CD de instalação do candidato a lançamento 1.4 em certas arquitecturas (Fujitsu P2000), sem a possibilidade de especificar parâmetros no arranque. Aparentemente, a resolução pode requerer uma modificação ao kernel de instalação, o que parece provável.

7.  Dicas e Truques

Obter informação sobre os pacotes instalados

Os utilizadores novos ao Gentoo muitas vezes perguntam como obter um lista dos pacotes instalados da árvore Portage, mas o que muitos daqueles que dão respostas podem não conhecer é a abundância de ferramentas que podem ser usadas para o fazer. Desde o pkglist da Portage, o qpkg do gentoolkit, e um epm (um programa semelhante ao rpm), até andar pelo /var/db/pkg, há definitivamente várias escolhas. Aqui estão duas maneiras de listar todos os pacotes instalado, a primeira usando o pkglist (localizado em /usr/lib/portage/bin/, que não está normalmente no $PATH), e a segunda executando o find em /var/db/pkg/:

    pkglist

    find /var/db/pkg/ -mindepth 2 -maxdepth 2 -printf "%P\n"

    

Ou, se quiser descobrir a que pacote pertence um dado ficheiro, aqui estão duas maneiras de o fazer com ferramentas do ebuild do gentoolkit:

    epm -qf /usr/bin/xpmtoppm

    netpbm-9.12-r4

    qpkg -f /usr/bin/namei

    sys-apps/util-linux *

    

8.  Adições, Mudanças e Alterações

Mudanças

Os seguintes programadores deixaram recentemente a equipa Gentoo:

• nenhum esta semana

Adições

Os seguintes programadores juntaram-se recentemente à equipa Gentoo:

• Jan Seidel (tuxus) -- MIPS
• John Lennard (yakmoose) -- win4lin
• Christian Birchinger (joker) -- Sparc

Alterações

Os seguintes programadores mudaram recentemente de papel no projecto Gentoo.

• nenhum esta semana

9.  Subscrição à mailing-list do GWN

Preferiria receber a GWN via e-mail? Subscreva-se à nossa mailing-list enviando um e-mail em branco para gentoo-gwn-subscribe@gentoo.org

10.  Contribuir para a GWN

Interessado em contribuir para as Notícias Semanais Gentoo (Gentoo Weekly Newsletter)? Envie-nos um e-mail

11.  Feedback à GWN

Por favor envie-nos o seu feedback e ajude a melhorar a GWN.