Figure 1.1: arte para o GameCD do Gentoo Linux para PPC por Christian Hartmann
Inicialmente sugerido por Joseph Pingenot, os membros da crypto herd do Gentoo estabeleceram a meta de suporte ao Trusted Computing Group (TCG - antes conhecido como Trusted Computing Platform Alliance ou TCPA) no Gentoo para agenda do ano.
TCG é um padrão aberto para especificação de hardware definindo funções criptográficas (Trusted Platform Module - TPM) que mantêm chaves privadas longe da memória de sistema. O hardware também fornece funções de inicialização confiáveis (TCG Software Stack - TSS) que certifica que chaves privadas não podem ser usadas se o sistema operacional mudar para um não confiável.
Aplicações TSS das arquiteturas TCG que são desejáveis para o Gentoo são:
TPM permite armazenar chaves criptográficas em hardware ao invés de colocar chaves privadas no sistema de arquivos. Exemplos incluem:
Se você estiver interessado em doar hardware ou fazer parte do desenvolvimento desta área, contate Henrik Brix Andersen ou Peter Johanson. Desenvolvedores irão precisar trabalhar em grande parte independentemente, e ter uma boa compreensão de arquiteturas de segurança e programação em C. Um emulador de TPM que pode ser útil está disponível.
Procurando desenvolvedores de EM64T, hardware, e testadores de arquitetura AMD64
O time do Gentoo/AMD64 pediu ajuda de desenvolvedores que possam ajudar a levar suporte para os processadores Intel x86-64, a linha de produtos EM64T. Os desenvolvedores precisarão trazer seu próprio hardware e fazer principalmente testes de kernel, já que os chipsets nas placas-mãe EM64T são diferentes. Por favor, contate Jason Huebel se você acha que você pode ajudar.
Em um anúncio separado, o AMD64 também está procurando para testadores de arquiteturas ou ATs, isto é não-desenvolvedores para ajudar a eliminar bugs e marcar aplicações como estáveis para uma variedade de ebuilds que já estão disponíveis.
O time de PPC fez um protótipo do primeiro LiveCD completamente gráfico para a plataforma PowerPC com um jogo 3D multiplayer OpenGL/SDL chamado Cube. Desenhado para o PegasosPPC, um variante de CD para rodar em hardware da Macintosh já está sendo feito. Enquanto o GameCD de 198MB já está disponível para ser baixado do servidores (no diretório experimental/ppc/livecd), um cluster inteiro de ODWs rodando Cube será parte das apresentações do espaço de desenvolvedores do Gentoo no FOSDEM em Bruxelas, 26-27 de fevereiro de 2005.
Figure 1.1: arte para o GameCD do Gentoo Linux para PPC por Christian Hartmann |
|
Continuando nossa cobertura de metas de projetos dentro do Gentoo Linux, esta semana vemos os planos do grupo Hardened:
Hardened
Konversation: Várias vulnerabilidades
Konversation contém vulnerabilidades múltiplas que podem levar à execução de comandos remota ou vazamentos de informação.
Para mais informações, por favor veja o GLSA Announcement
Evolution: Integer overflow no camel-lock-helper
Um overflow na aplicação camel-lock-helper pode ser explorado por um indivíduo malicioso para executar código arbitrário com privilégios elevados.
Para mais informações, por favor veja o Anúncio do GLSA
AWStats: Execução de código remota
AWStats não valida certas entradas, o que pode levar à execução de código remota.
Para mais informações, por favor veja o Anúncio do GLSA
GraphicsMagick: heap overflow na decodificação de PSD
GraphicsMagick é vulnerável a um heap overflow na hora de decodificar arquivos de Photoshop Document (PSD), que pode levar à execução de código arbitrário.
Para mais informações, por favor veja o Anúncio do GLSA
Perl: vulnerabilidades de rmtree e DBI tmpfile
A biblioteca de Perl DBI e função File::Path::rmtree são vulneráveis a ataques de link simbólicos.
Para mais informações, por favor veja o Anúncio do GLSA
SquirrelMail: Vulnerabilidades múltiplas
SquirrelMail não sanitiza a entrada de usuário adequadamente, o que pode lever à execução de código arbitrário e compromisso de contas de webmail.
Para mais informações, por favor veja o Anúncio do GLSA
ngIRCd é vulnerável a um overflow de buffer que pode ser usado para derrubar o daemon e possivelmente executar código arbitrário.
Para maiores informações, veja o Anúncio do GLSA
TikiWiki: Execução de comando arbitrário
Um bug no TikiWiki permite que alguns usuários façam upload e executem scripts PHP maliciosos.
Para maiores informações, veja o Anúncio do GLSA
VDR: Substituição de arquivos arbitrários
O VDR acessa inseguramente arquivos com privilégios elevados, o que pode resultar na substituição (sobrescrita) de arquivos arbitrários.
Para maiores informações, veja o Anúncio do GLSA
f2c: Criação insegura de arquivos temporários
O f2c é vulnerável a ataques de symlink, potencialmente permitindo que um usuário local sobrescreva arquivos arbitrários.
Para maiores informações, veja o Anúncio do GLSA
ncpfs: Vulnerabilidades múltiplas
Os utilitários ncpfs contém múltiplas falhas, potencialmente resultando na execução remota de código arbitrário or acesso a arquivos locais com privilégios elevados.
Para maiores informações, veja o Anúncio do GLSA
Nova velha ferramenta do Portage
Uma de muitas ferramentas de busca do Portage, o portagedb, foi renomeado para "Ebuild Index" ou eix recentemente. O desenvolvedor Pythonhead reconhece que esta alternativa ao esearch "fica melhor com cada versão" e lista eix no seu meta-thread:
O beagle é o melhor amigo do homem?
Semana lenta nas seções em inglês dos fóruns, mas os franceses tiveram sua chance com um software comparável ao muito falado SpotLight que a Apple quer integrar na sua versão Tiger do Mac OS X. Aparentemente o Beagle, baseado em Mono, é não somente uma alternativa completamente livre à busca em tempo real de desktop da Apple, como também já é usável, ao menos até certo ponto...
Lembrete da política de atualização de ebuilds
Jason Wever enviou um lembrete sobre políticas de atualização de ebuilds: "Recentemente, tem havido um grande número de atualizações de ebuilds com keywords de arch sendo completamente removidas. Por favor não faça isso a não ser que haja uma razão específica (bug de segurança, dependências quebradas, veja políticas), e se há uma razão válida, por favor notifique as arquiteturas afetadas do motivo de terem seus keywords removidos.
[RFC] Versioned eclasses
Daniel Goller e Patrick Lauer iniciaram um tópico pedindo por "versioned eclasses". Esta proposta (que é um tópico recorrente a cada seis meses, mais ou menos) foi discutida até a morte em uma das maiores flamewars que a lista de e-mail do gentoo-dev viu nos últimos meses, e permanece sem resolução.
Gentoo-dev parece ter sido hackeada
Ao mesmo tempo de a flamewar das "versioned eclasses", um segundo tópico de alto tráfego desenvolveu-se sobre assinaturas, identidade e paranóia. As questões iniciais sobre assinaturas possivelmente quebradas foram esquecidas enquanto devs e usuários discutiam o problema de identidade em comunicações prioritariamente eletrônicas e outras questões tangenciais.
Problemas com BAS/c
Ciaran McCreesh mostrou alguns problemas com o novo cliente de Buildtime e Estatísticas BAS/c. O seguinte tópico tem muita informação boa para todos os hackers de ebuilds entre vocês sobre como ebuilds devem ser escritos (e alguns bons exemplos do que não fazer).
Repercussões na mídia sobre Gentoo/OpenSolaris
"Sentimento mistos" é o que melhor descreve a avaliação da comunidade open-source do lançamento do OpenSolaris da Sun. Independentemente de eles serem críticos da jogada da Sun ou não, muitos autores reconhecem que o Portaris e o projeto Gentoo/OpenSolaris é um aspecto muito interessante. Aqui está uma lista de clippings da imprensa cobrindo tanto os anúncios da Sun quanto do Gentoo ao redor do mundo:
Pingüim Maluco (25 de janeiro de 2005)
"Gentoo feito certo" é o título de um artigo do Mad Penguin sobre Vidalinux, o derivado do Gentoo que instala via o Anaconda do Red Hat e fornece binários para um sistema com "core" do Gentoo. A distribuição Porto-riquenha - "essencialmente uma instalação stage 3" - recebe uma avaliação entusiástica, e o autor Adam Doxtater fecha o artigo recomendando-o a "qualquer um que deseje experimentar o Gentoo Linux mas que pode não ter tempo para compilar tudo do zero para ter um sistema básico rodando."
Pro-Linux.de (25 de janeiro de 2005)
A revista exclusivamente online alemã Pro-linux.de fala sobre a venda de Open Desktop Workstations da Genesis em , um artigo sobre Workstations PegasosPPC com o Gentoo pré-instalado. A Pro-Linux cita o anúncio do JSG da última semana e adiciona algumas notas sobre a plataforma em geral, identificando - entre outras coisas - o ODW como uma "reincarnação do Amiga"
A comunidade do Gentoo usa o Bugzilla (bugs.gentoo.org) para gravar e rastrear bugs, notificações, sugestões e outras interações com a equipe de desenvolvimento. Entre 23 de Janeiro de 2005 e 30 de Janeiro de 2005, a atividade no site resultou em:
Dos 7945 bugs atualmente abertos: 109 são rotulados 'blocker', 240 são rotulados 'critical', e 584 são rotulados 'major'.
Os desenvolvedores e equipes que fecharam o maior número de bugs durante este período são:
Os desenvolvedores e equipes aos quais foram atribuídos o trabalho de resolução do maior numero de novos bugs durante o período são:
Os seguintes desenvolvedores deixaram a equipe do Gentoo recentemente:
Os seguintes desenvolvedores uniram-se a equipe do Gentoo:
Os seguintes desenvolvedores recentemente mudaram de tarefa no projeto do Gentoo Linux:
Interessado em contribuir com o Jornal Semanal Gentoo? Envie-nos um email.
Por favor envie-nos seu feedback e ajude a melhorar o JSG (GWN)
10. Informações sobre assinaturas
Para assinar o Jornal Semanal do Gentoo (Gentoo Weekly Newsletter), envie um email em branco para gentoo-gwn-subscribe@gentoo.org.
Para cancelar sua assinatura, envie um email em branco para gentoo-gwn-unsubscribe@gentoo.org do endereço sob o qual você esta inscrito.
O Jornal Semanal do Gentoo também está disponível nas seguintes línguas: