Еженедельник Gentoo: 6 октября 2003 года

1.  Новости Gentoo

Содержание

• Измерение производительности Gentoo Linux

Измерение производительности Gentoo Linux

23 сентября 2003 года, Хосе Альберто Суарез Лопез сделал показательное выступление на конференции HispaLinux 2003, где он продемонстрировал производительность Gentoo Linux 1.4 release. Gentoo Linux 1.4 оптимизированный под Pentium III, с и без прелинка, сравнивался с Mandrake 9.1 установленный на компьютер с Pentium III с настройками "по умолчанию". Результаты — Gentoo Linux 1.4 с прелинком показал свое превосходство в скорости над Mandrake 9.1 во всех тестах и даже без прелинка мозилла загрузилась практически в два раза быстрее в Gentoo, а NetBeans более чем в два раза быстрее.

Выводы, которые мы можем сделать из проведенных тестов, то что оптимизация по-умолчанию выполненная в Gentoo Linux для Pentium III оказывает значительное влияние на время загрузки приложений в "реальных" приложениях. Также, очевидно, что прелинк значительно уменьшает время загрузки KDE приложений. Gentoo Linux обеспечивает большую общую производительность чем другие дистрибутивы Linux, потому что мы стараемся предлагать последние и лучшие технологии бесплатного программного обеспечения для наших пользователей, подобно самым последним опциям компилятора и прекомпилированным пакетам с оптимизацией под определенный тип процессора (а также простому для пользователей способу собрать Gentoo с "нуля"). Чтобы получить полную информацию, прочитайте выводы. Чтобы получить Ваш собственный оптимизированный Gentoo Linux зайдите на Gentoo Store.

2.  Безопасность Gentoo

Содержание

• GLSA: teapop
• GLSA: mpg123
• GLSA: net-ftp/proftpd
• GLSA: media-video/mplayer
• GLSA: openssl

GLSA: teapop

Описание:

teapop страдает от запросов sql в модулях аутонефикации postgresql и mysql.

• Серьезность: Высокая — sql запросы, удаленное использование.
• Подверженные пакеты: <teapop-0.3.7
• Лечение: emerge sync; emerge teapop; emerge clean
• Объявление GLSA

GLSA: mpg123

Описание:

mpg123 содержит перепонение буфера в куче, что может привести к выполнению удаленным атакующим произвольного кода на машине жертвы.

• Серьезность: Высокая — переполнение буфера.
• Подверженные пакеты: <0.59r-r3
• Лечение: emerge sync; emerge mpg123; emerge clean
• Объявление GLSA

GLSA: net-ftp/proftpd

Описание:

ISS X-Force обнаружили уязвимость, к которой может привести закачка специального файла на сервер proftpd.

• Серьезность: Высокая — ASCII File Remote Compromise Vulnerability.
• Подверженные пактеы: <net-ftp/proftpd-1.2.9_rc2
• Лечение: emerge sync; emerge '>=net-ftp/proftpd-1.2.9_rc2'; emerge clean
• Объявление GLSA

GLSA: media-video/mplayer

Описание:

Удаленное использование уязвимости переполнения буфера найдено в MPlayer. Злонамереный хост может обманом послать опасный заголовок ASX, и обманом заставить выполнить MPlayer произвольный код во время обработки этого заголовка.

• Серьезность: Высокая — уязвимость переполнения буфера
• Подверженные пакеты: <mplayer-0.91 =mplayer-1.0_pre1
• Лечение: emerge sync; emerge =media-video/mplayer-0.92; emerge clean
• Объявление GLSA

GLSA: openssl

Часть объявления OpenSSL:

"1. Определенные ASN.1 кодировки, которые не принимаются парсером могут вызвать ошибку в соответствующей структуре данных, повреждая стек. Это может быть использовано как атака "отказ в обслуживании". В данный момент неизвестно, может ли эта ошибка использоваться для выполнения злоумышленного кода. Эта проблема не затрагивает OpenSSL 0.9.6.

2. Необычные ASN.1 значения тегов в некоторых случаях могут быть причиной попытке прочитать область памяти непринадлежащей процессу, приводя к уязвимости "отказ в обслуживании".

3. Неправильным образом сформированный публичный ключ в сертификате может быть причиной ошибки проверяющего кода, если есть настройки заставляющие игнорировать ошибки декодирования публичного ключа. Подобные настройки обычно выключены, кроме случаев тестирования, так что это не должно затронуть работающие сервисы. Использование данной ошибки может привести к уязвимости "отказ в обслуживании".

4. Из-за ошибки в обработке SSL/TLS протокола, сервер проверяет сертификат клиента даже в том случае, когда это не требуется. Строго говоря, это само по себе не является уязвимостью, но это означает, что *любой* SSL/TLS сервер, использующий OpenSSL, может быть атакован используя уязвимости 1,2 и 3, даже если ему непозволено проводить аутентификацию клиента."

• Важность: Средняя — удаленное использование
• Подверженные пакеты: <0.9.6k
• Лечение: emerge sync; emerge openssl; emerge clean
• Объявление GLSA

Новые отчеты об ошибках безопасности

Следующие отчеты были отправлены за прошедшую неделю:

• Apache 2.0.47 & mod_cgi: denial of service

3.  Разработчик недели

Thomas Raschbacher

Рисунок 3.1: Thomas Raschbacher

На этой неделе Томаса Рашбахера (Thomas Raschbacher) (LordVan), лидера "печатающей" команды Gentoo Linux и зачастую автора патчей и ebuild'ов для python и DVB. Он также участник немецкой команды переводчиков и координатор переводов GWN. В основном он работает над разработкой новых ebuild'ов и исправлении ошибок в старых. Вдобавок, помимо работы с Gentoo Томас учавствует в переводе Gnome, исправлении ошибок в Twisted и нескольких более мелких проектах. Он чрезвычайно горд своими web-разработками, которые он сделал использую Twisted и планирует открыть их исходный код.

Томас довольно долго работает с линуксом, начав со Slackware в 1996 году, он сразу же перешел на Gentoo как только услышал о проекте в августе 2002 года. Томас стал разработчиком дистрибутива в декабре этого года, после, как он говорит "слишком назойливого ворчания по поводу своих ebuild'ов и патчей" в сторону Симанта Каллина (Seemant Kulleen). Томас описывает Gentoo, как "чертовски приятный дистрибутив, для которого я хотел бы сделать как можно больше".

томас живет в Жадено-Бомгартене, Нижняя Австрия. Он окончил курсы технической информатики в Высшей Технической Школе и получил Matura (эквивалент полного среднего образования). Занимается консультациями по продаже компьютеров, а также web-дизайном и поддержкой линукса. Он поклонник боевых искуств и в данный момент изучает нинджитсу и японский язык. Ему также нравиться Star Trek, аниме и манга. Его любимая цитата, взятая из классического аниме End of Evangelion (из разговора персонажей Shinji и Rei): "Что... есть мой сон? Это продолжение реальности. Что есть... моя реальность? Это окончание твоего сна.". Также, Томас активный организатор и участник LAN-вечеринок.

Томас выполняет большую часть своей работы на Celeron'овском сервере, станции разработчика и web-сервере. Вдобавок у него есть ноутбук, наладонник от Zaurus и набор тестовых станций и серверов. Его основные инструменты для разработчики python, sed и grep. Он общается с миром с помощью mutt, MozillaFirebird, Xchat-2 и MozillaThunderbird. Он также любитель gnotime, многофункциональной программы для учета времени. Подобно многим из нас его первым действием c утра является проверка почты.

4.  О чем говорят в сообществе?

Веб форум

Последние дни PHP

Не так давно, когда в форуме участвовало всего лишь нескольких тысяч пользователей, появление тройных и более одинаковых сообщения становилось поводом для всеобщего веселья. Но в эти дни причиной повторяющихся сообщений (по-простому "дублей") является долгое время отклика от базы данных, когда кто-либо нажимает кнопку "отправить" в условиях большой нагрузки на сервер, в итоге могут появиться множественные одинаковые сообщения, даже если кнопка была нажата всего один раз. Это продолжалось до тех пор, пока модераторы немецкого форума, для уменьшения нагрузки, не стали просить пользователей помочь в обнаружении бесполезных, одинаковых, очень старых и безответных сообщений, которые могут быть удалены без нанесения морального ущерба кому-либо. С трудом терпимая проблема производительности заставила администратора сайта klieber начать открытую дискуссию о возможной альтернативе текущему программному обеспечению (phpBB), интересуясь мнением общественности о коммерческих пакетах, как о потенциальной замене:

• Migrating to a commercial PHP-based forums package

• Ablц╤sung von phpBB? Boardprobleme und Co.(in German)

Portage на веб

В связи с отложеным "на потом" stable.gentoo.org и базой данных пакетов на главном сайте Gentoo несколько молчаливой, когда дело касается комментарий и обзора пакетов, thrasher6670 предложил полу-автоматический, но интерактивный сайт отслеживающий содержимое дерева портежей и предлагающий пользователю добавить свое впечатление о каждом пакете. Судя по тому, что он сказал в треде (повторено на сайте), thrasher6670 не отказался бы принять некоторую помощь в веб-дизайне...

• Portage website (the thread)

• Portage website (the site)

Неанглийский GWN по почте

Да, это возможно, даже без использования списков рассылок для каждого языка. Спасибо Ginko, написавшему небольшой скрипт на Perl, который автоматически скачивает, переводит и посылает по почте свежую копию GWN, когда бы она не появилась на сайте Gentoo:

• GWN automagically sent to your Mailbox

gentoo-user

Быстродействие/Ускорение вашей видеокарты

Хочете выжать последние FPS из вашей ATI/Nvidia видео карты? Просмотрите это интересное обсуждение тестирование и настройка AGPGART .

Легкий файловый менеджер для Gentoo

Многих пользователей привлекает Gentoo потому, что он предлагает легкое, решение "только то, что вам нужно", для тех кому это нужно. Так же некторые пользователи получают удовольствие от своего десктопов. Посмотрите это обсуждение для формирования своего мнения.

gentoo-dev

Великая охота на ошибки Gentoo!

Не беспокойтесь о поиске пасхальных яиц на пасху, лучше найдите несколько ошибок в Gentoo и выиграйте бесплатное аппаратное обеспечение. Заинтересовались, как стать супер сыщиком ошибок Gentoo? Посмотрите сюда для разъяснений и начинайте охоту!

5.  Gentoo в мире

Германия: напоминания о событии на этой неделе

Джентульменам, живущим в районе Франкфурта удалось утаить их прошлую встречу от GWN — она была объявлена, проведена и закончена прежде, чем мы успели посмотреть на соответствующий тред в форуме.... Тем не менее, самая многочисленная по количеству участников германская неделя Gentoo в этом году собирается начаться и нам хотелось бы напомнить об этом всем находящемся в этом районе в это время:

• 8 October: Ruhrgebiet Gentoo User Meeting in Oberhausen(precise location description at the link)

• 9 October: Kц╤ln/Bonn Gentoo User Meeting in Bonn

• 11 October: Practical Linux Day in Gieц?en(featuring a Gentoo booth and presentation)

6.  Обзор дерева портежей

Раздел на этой неделе отсутствует

7.  Bugzilla

Содержание

• Статистика
• Количество закрытых ошибок
• Количество новых ошибок

Статистика

Сообщество Gentoo использует Bugzilla (bugs.gentoo.org) для записи и слежения за ошибками, уведомлениями, внесением предложений и любого другого взаимодействия с командой разработчиков. За период с 26 сентября 2003 по 02 октября 2003, активность на сайте привела к следующим результатам:

• Создано 496 новых отчета об ошибках
• 464 ошибок закрыто или разрешено
• 13 ранее закрытых ошибок вновь открыто

Из 4140 ошибок, открытых на данный момент: 92 помечены как 'блокирующие'', 196 как 'критичные' и 335 как 'важные'.

Количество закрытых ошибок

Разработчики и команды, которые закрыли наибольшее количество ошибок за этот период:

• George Shapovalov, с 37 ошибками
• Gentoo Linux Gnome Desktop Team, с 26 ошибками
• PHP Bugs Team, с 22 ошибками
• Gentoo Games, с 20 ошибками
• Gentoo Sound Team, с 14 ошибками

Количество новых ошибок

Разработчики и команды, которым было назначено наибольшее количество ошибок за этот период:

• Portage team, с 25 новыми ошибками
• Martin Schlemmer, с 13 новыми ошибками
• Gentoo Linux Gnome Desktop Team, с 11 новыми ошибками
• x86 Kernel Team, с 10 новыми ошибками
• Gentoo Sound Team, с 9 новыми ошибками

8.  Полезные советы

Использование qpkg

На этой неделе расскажем вам о некторых основах использования "запросов к package" (qpkg), эта команда открывает доступ к информации о установленных или не установленных packages в вашей системе. Она может найти пакет, которому принадлежит файл, найти дублирующие пакеты, показать список файлов поставленного пакета, и многое другое.

Для использования qpkg вам нужно установить app-portage/gentoolkit.

# emerge app-portage/gentoolkit
  

Сейчас, когда у вас qpkg установлен, вы можете начать получать информацию о вашей системе. Например узнать какому пакету принадлежит файл. Это возможно с опцией --find-file (или, как альтернатива --find-pattern).

(Какой пакет владелец /etc/crontab?)
% qpkg --find-file /etc/crontab
sys-apps/vcron *

(Какая версия vcron? (--verbose))
% qpkg --find-file --verbose /etc/crontab
sys-apps/vcron-3.0.1-r1 *

(Где находиться ebuild для этого файла? (--verbose --verbose))
% qpkg --find-file --verbose --verbose /etc/crontab
   /var/db/pkg/sys-apps/vcron-3.0.1-r1/vcron-3.0.1-r1.ebuild
sys-apps/vcron-3.0.1-r1 *
  

Для получения списка всех файлов пакета используйте опцию --list.

% qpkg --list units
(Вывод команды усечен, для краткости)
app-sci/units-1.74 *
CONTENTS:
/usr/bin/units
/usr/share/doc/units-1.74
/usr/share/doc/units-1.74/README.gz
/usr/share/doc/units-1.74/NEWS.gz
/usr/share/doc/units-1.74/INSTALL.gz
/usr/share/doc/units-1.74/COPYING.gz
/usr/share/doc/units-1.74/ChangeLog.gz
/usr/share/man/man1/units.1.gz
/usr/share/info/units.info.gz
/usr/share/units/units.dat
  

В последнем примере покажем вам как найти пакеты зависимые от интересного вам пакета используя --query-deps.

% qpkg --installed --query-deps mozilla
net-www/mozilla-1.4-r3 *
DEPENDED ON BY:
        net-mail/evolution-1.4.3
        net-www/galeon-1.3.9

Это было введение в qpkg. Для дополнительных возможностей смотрите qpkg --help или man 1 qpkg.

9.  Перемещения разработчиков Gentoo

Уход

Следующие разработчики недавно вышли из проекта Gentoo:

• на этой неделе — никто

Появление

Следующие разработчики недавно присоединились к проекту Gentoo:

• Brad House (brad_mssw) — amd64
• Joel Hillster (hillster) — различные ebuild'ы
• Rob Cakebread (pythonhead) — python

Изменения

Следующие разработчики недавно сменили роль в проекте Gentoo:

• на этой неделе — никто

10.  Обратная связь

Пожалуйста, посодействуйте улучшению еженедельника Gentoo, сообщив нам свое мнение!

11.  Подписка на еженедельник

Для подписки на еженедельник Gentoo (англ.), отправьте пустое сообщение на gentoo-gwn+subscribe@gentoo.org.

Для отказа от подписки на еженедельник Gentoo (англ.), отправьте пустое сообщение на gentoo-gwn+unsubscribe@gentoo.org с того же адреса, на который оформлена подписка.

12.  На других языках

Еженедельник Gentoo переводится на следующие языки:

• английский
• голландский
• датский
• испанский
• итальянский
• корейский
• немецкий
• польский
• португальский (Бразилия)
• португальский (Португалия)
• русский
• турецкий
• французский
• японский