Gentoo Logo

Jornal Semanal do Gentoo: 31 de janeiro de 2005

Content:

1.  Notícias do Gentoo

Trusted Gentoo

Inicialmente sugerido por Joseph Pingenot, os membros da crypto herd do Gentoo estabeleceram a meta de suporte ao Trusted Computing Group (TCG - antes conhecido como Trusted Computing Platform Alliance ou TCPA) no Gentoo para agenda do ano.

TCG é um padrão aberto para especificação de hardware definindo funções criptográficas (Trusted Platform Module - TPM) que mantêm chaves privadas longe da memória de sistema. O hardware também fornece funções de inicialização confiáveis (TCG Software Stack - TSS) que certifica que chaves privadas não podem ser usadas se o sistema operacional mudar para um não confiável.

Aplicações TSS das arquiteturas TCG que são desejáveis para o Gentoo são:

TPM permite armazenar chaves criptográficas em hardware ao invés de colocar chaves privadas no sistema de arquivos. Exemplos incluem:

Se você estiver interessado em doar hardware ou fazer parte do desenvolvimento desta área, contate Henrik Brix Andersen ou Peter Johanson. Desenvolvedores irão precisar trabalhar em grande parte independentemente, e ter uma boa compreensão de arquiteturas de segurança e programação em C. Um emulador de TPM que pode ser útil está disponível.

Procurando desenvolvedores de EM64T, hardware, e testadores de arquitetura AMD64

O time do Gentoo/AMD64 pediu ajuda de desenvolvedores que possam ajudar a levar suporte para os processadores Intel x86-64, a linha de produtos EM64T. Os desenvolvedores precisarão trazer seu próprio hardware e fazer principalmente testes de kernel, já que os chipsets nas placas-mãe EM64T são diferentes. Por favor, contate Jason Huebel se você acha que você pode ajudar.

Em um anúncio separado, o AMD64 também está procurando para testadores de arquiteturas ou ATs, isto é não-desenvolvedores para ajudar a eliminar bugs e marcar aplicações como estáveis para uma variedade de ebuilds que já estão disponíveis.

Lançado GameCD de Gentoo/PPC

O time de PPC fez um protótipo do primeiro LiveCD completamente gráfico para a plataforma PowerPC com um jogo 3D multiplayer OpenGL/SDL chamado Cube. Desenhado para o PegasosPPC, um variante de CD para rodar em hardware da Macintosh já está sendo feito. Enquanto o GameCD de 198MB já está disponível para ser baixado do servidores (no diretório experimental/ppc/livecd), um cluster inteiro de ODWs rodando Cube será parte das apresentações do espaço de desenvolvedores do Gentoo no FOSDEM em Bruxelas, 26-27 de fevereiro de 2005.


Figure 1.1: arte para o GameCD do Gentoo Linux para PPC por Christian Hartmann

Fig. 1: CD cover

2.  Para o futuro

Metas de projeto para 2005

Continuando nossa cobertura de metas de projetos dentro do Gentoo Linux, esta semana vemos os planos do grupo Hardened:

Hardened

  • Revisar nosso método e políticas atuais
  • Melhorar filtro de CFLAGS (especialmente "-fPIC" e "-fstack-protector"
  • Introduzir estágios de AMD64/Sparc64/PPC64, mais hardware no futuro conforme hardware é adquirido
  • Melhoria de documentação de Grsecurity2
  • Suporte a SELinux melhor e ampliado
  • Desenvolver e documentar políticas de RSBAC
  • Documentação em maior e melhor quantidade de tudo
  • Assimilar novos desenvolvedores
  • Eleger novo comite do Hardened
  • Introduzir o LiveCD forense e de resgate
  • Suportar e melhorar conjuntos de patches de kernel
  • Promover o projeto do Gentoo Hardened fora do Gentoo e aumentar consciência dentro do Gentoo

3.  Segurança do Gentoo

Konversation: Várias vulnerabilidades

Konversation contém vulnerabilidades múltiplas que podem levar à execução de comandos remota ou vazamentos de informação.

Para mais informações, por favor veja o GLSA Announcement

Evolution: Integer overflow no camel-lock-helper

Um overflow na aplicação camel-lock-helper pode ser explorado por um indivíduo malicioso para executar código arbitrário com privilégios elevados.

Para mais informações, por favor veja o Anúncio do GLSA

AWStats: Execução de código remota

AWStats não valida certas entradas, o que pode levar à execução de código remota.

Para mais informações, por favor veja o Anúncio do GLSA

GraphicsMagick: heap overflow na decodificação de PSD

GraphicsMagick é vulnerável a um heap overflow na hora de decodificar arquivos de Photoshop Document (PSD), que pode levar à execução de código arbitrário.

Para mais informações, por favor veja o Anúncio do GLSA

Perl: vulnerabilidades de rmtree e DBI tmpfile

A biblioteca de Perl DBI e função File::Path::rmtree são vulneráveis a ataques de link simbólicos.

Para mais informações, por favor veja o Anúncio do GLSA

SquirrelMail: Vulnerabilidades múltiplas

SquirrelMail não sanitiza a entrada de usuário adequadamente, o que pode lever à execução de código arbitrário e compromisso de contas de webmail.

Para mais informações, por favor veja o Anúncio do GLSA

ngIRCd: Overflow de buffer

ngIRCd é vulnerável a um overflow de buffer que pode ser usado para derrubar o daemon e possivelmente executar código arbitrário.

Para maiores informações, veja o Anúncio do GLSA

TikiWiki: Execução de comando arbitrário

Um bug no TikiWiki permite que alguns usuários façam upload e executem scripts PHP maliciosos.

Para maiores informações, veja o Anúncio do GLSA

VDR: Substituição de arquivos arbitrários

O VDR acessa inseguramente arquivos com privilégios elevados, o que pode resultar na substituição (sobrescrita) de arquivos arbitrários.

Para maiores informações, veja o Anúncio do GLSA

f2c: Criação insegura de arquivos temporários

O f2c é vulnerável a ataques de symlink, potencialmente permitindo que um usuário local sobrescreva arquivos arbitrários.

Para maiores informações, veja o Anúncio do GLSA

ncpfs: Vulnerabilidades múltiplas

Os utilitários ncpfs contém múltiplas falhas, potencialmente resultando na execução remota de código arbitrário or acesso a arquivos locais com privilégios elevados.

Para maiores informações, veja o Anúncio do GLSA

4.  Ouvimos na cmunidade

Fóruns da Web

Nova velha ferramenta do Portage

Uma de muitas ferramentas de busca do Portage, o portagedb, foi renomeado para "Ebuild Index" ou eix recentemente. O desenvolvedor Pythonhead reconhece que esta alternativa ao esearch "fica melhor com cada versão" e lista eix no seu meta-thread:

O beagle é o melhor amigo do homem?

Semana lenta nas seções em inglês dos fóruns, mas os franceses tiveram sua chance com um software comparável ao muito falado SpotLight que a Apple quer integrar na sua versão Tiger do Mac OS X. Aparentemente o Beagle, baseado em Mono, é não somente uma alternativa completamente livre à busca em tempo real de desktop da Apple, como também já é usável, ao menos até certo ponto...

gentoo-dev

Lembrete da política de atualização de ebuilds

Jason Wever enviou um lembrete sobre políticas de atualização de ebuilds: "Recentemente, tem havido um grande número de atualizações de ebuilds com keywords de arch sendo completamente removidas. Por favor não faça isso a não ser que haja uma razão específica (bug de segurança, dependências quebradas, veja políticas), e se há uma razão válida, por favor notifique as arquiteturas afetadas do motivo de terem seus keywords removidos.

[RFC] Versioned eclasses

Daniel Goller e Patrick Lauer iniciaram um tópico pedindo por "versioned eclasses". Esta proposta (que é um tópico recorrente a cada seis meses, mais ou menos) foi discutida até a morte em uma das maiores flamewars que a lista de e-mail do gentoo-dev viu nos últimos meses, e permanece sem resolução.

Gentoo-dev parece ter sido hackeada

Ao mesmo tempo de a flamewar das "versioned eclasses", um segundo tópico de alto tráfego desenvolveu-se sobre assinaturas, identidade e paranóia. As questões iniciais sobre assinaturas possivelmente quebradas foram esquecidas enquanto devs e usuários discutiam o problema de identidade em comunicações prioritariamente eletrônicas e outras questões tangenciais.

Problemas com BAS/c

Ciaran McCreesh mostrou alguns problemas com o novo cliente de Buildtime e Estatísticas BAS/c. O seguinte tópico tem muita informação boa para todos os hackers de ebuilds entre vocês sobre como ebuilds devem ser escritos (e alguns bons exemplos do que não fazer).

5.  Gentoo na imprensa

Repercussões na mídia sobre Gentoo/OpenSolaris

"Sentimento mistos" é o que melhor descreve a avaliação da comunidade open-source do lançamento do OpenSolaris da Sun. Independentemente de eles serem críticos da jogada da Sun ou não, muitos autores reconhecem que o Portaris e o projeto Gentoo/OpenSolaris é um aspecto muito interessante. Aqui está uma lista de clippings da imprensa cobrindo tanto os anúncios da Sun quanto do Gentoo ao redor do mundo:

Pingüim Maluco (25 de janeiro de 2005)

"Gentoo feito certo" é o título de um artigo do Mad Penguin sobre Vidalinux, o derivado do Gentoo que instala via o Anaconda do Red Hat e fornece binários para um sistema com "core" do Gentoo. A distribuição Porto-riquenha - "essencialmente uma instalação stage 3" - recebe uma avaliação entusiástica, e o autor Adam Doxtater fecha o artigo recomendando-o a "qualquer um que deseje experimentar o Gentoo Linux mas que pode não ter tempo para compilar tudo do zero para ter um sistema básico rodando."

Pro-Linux.de (25 de janeiro de 2005)

A revista exclusivamente online alemã Pro-linux.de fala sobre a venda de Open Desktop Workstations da Genesis em , um artigo sobre Workstations PegasosPPC com o Gentoo pré-instalado. A Pro-Linux cita o anúncio do JSG da última semana e adiciona algumas notas sobre a plataforma em geral, identificando - entre outras coisas - o ODW como uma "reincarnação do Amiga"

6.  Bugzilla

Sumário

Estatísticas

A comunidade do Gentoo usa o Bugzilla (bugs.gentoo.org) para gravar e rastrear bugs, notificações, sugestões e outras interações com a equipe de desenvolvimento. Entre 23 de Janeiro de 2005 e 30 de Janeiro de 2005, a atividade no site resultou em:

  • 844 novos bugs durante este período
  • 516 bugs fechados ou resolvidos durante este período
  • 29 bugs previamente fechados foram reabertos neste período

Dos 7945 bugs atualmente abertos: 109 são rotulados 'blocker', 240 são rotulados 'critical', e 584 são rotulados 'major'.

Ranking de bugs fechados

Os desenvolvedores e equipes que fecharam o maior número de bugs durante este período são:

Ranking de novos bugs

Os desenvolvedores e equipes aos quais foram atribuídos o trabalho de resolução do maior numero de novos bugs durante o período são:

7.  Saídas, adições e mudanças

Saídas

Os seguintes desenvolvedores deixaram a equipe do Gentoo recentemente:

  • Nenhum nesta semana

Adições

Os seguintes desenvolvedores uniram-se a equipe do Gentoo:

  • Fernando Serboncini (fserb) - Python
  • Kyle England (kengland) - Infra-estrutura

Mudanças

Os seguintes desenvolvedores recentemente mudaram de tarefa no projeto do Gentoo Linux:

  • John Davis (zhen) - Deixou a Liderança do Release Engineering Strategic Grupo
  • Aaron Walker (ka0ttic) - Se juntou ao grupo netmon
  • Daniel Black (dragonheart) - Deixou grupo embedded - juntou-se aos grupos ppc e netmon
  • Otavio Rodolfo Piske (AngusYoung) - juntou-se ao grupo netmon

8.  Contribua para o JSG (GWN)

Interessado em contribuir com o Jornal Semanal Gentoo? Envie-nos um email.

9.  Feedback do JSG(GWN)

Por favor envie-nos seu feedback e ajude a melhorar o JSG (GWN)

10.  Informações sobre assinaturas

Para assinar o Jornal Semanal do Gentoo (Gentoo Weekly Newsletter), envie um email em branco para gentoo-gwn-subscribe@gentoo.org.

Para cancelar sua assinatura, envie um email em branco para gentoo-gwn-unsubscribe@gentoo.org do endereço sob o qual você esta inscrito.

11.  Outras línguas

O Jornal Semanal do Gentoo também está disponível nas seguintes línguas:



Print

Page updated January 31, 2005

Summary: Este é o Jornal Semanal do Gentoo da semana de 31 de janeiro de 2005.

Ulrich Plate
Editor

Daniel Black
Author

Danny van Dyk
Author

Patrick Lauer
Author

Marcelo Góes
Tradução Português do Brasil

Fernando Vaz
Tradução Português do Brasil

Filipe Augusto
Tradução Português do Brasil

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.