Еженедельник Gentoo: 31 января 2005 годаJoseph Pingenot, член крипто-группы Gentoo, изначально предложил, а теперь и поставил целью осуществить в Gentoo поддержку Trusted Computing Group (TCG — бывшая ранее Trusted Computing Platform Alliance или TCPA) в этом году. TCG — это открытый стандарт спецификаций аппаратного обеспечения, определяющий криптографические функции (Trusted Platform Module — TPM), которые держат закрытые ключи отдельно от системной памяти. Аппаратное обеспечение также обеспечивает доверенные функции загрузки (TCG Software Stack — TSS), которые следят, чтобы закрытые ключи не смогли быть использованы в случае, если операционная система сменяется на недоверенную. Приложениями TSS архитектур TCG, которые были бы желательны для Gentoo, являются:
TPM позволяет хранить криптографические ключи в аппаратном обеспечении вместо их помещения в файловой системе. Например:
Если вы заинтересованы в пожертвовании аппаратуры или принятии участия в разработке, свяжитесь с Henrik Brix Andersen'ом или Peter Johanson'ом. Разработчикам придется в большей степени работать независимо, и запастись хорошим пониманием архитектур безопасности и языка C. TPM-эмулятор, который может пригодиться, находится здесь. Ищем EM64T разработчиков, оборудование, и AMD64 "арх-тестеров" Команда Gentoo/AMD64 ищет разработчиков, которые могли бы помочь расширить поддержку x86-64 процессоров компании Intel, линейки продуктов EM64T. Разработчики должны иметь свою аппаратуру и большей частью осуществлять тестирование ядра, поскольку чипсеты на материнских платах EM64T различны. Пожалуйста, свяжитесь с Jason Huebel'ом, если вы желаете помочь с этим. Команда AMD64 также обьявила, что ищет "арх-тестеров" или AT, т.е. не-разработчиков, которые могли бы помочь вылавливать ошибки и помечать приложения как стабильные среди множества уже доступных ebuild'ов. Команда PPC выпустила прототип первого полностью графического LiveCD для платформы PowerPC, включающий многопользовательскую трехмерную OpenGL/SDL-игру под названием Cube. Разработанный для PegasosPPC, вариант CD для Macintosh уже в работе. 198-мегабайтный GameCD уже доступен для скачивания с зеркал (в каталоге experimental/ppc/livecd). Целый кластер рабочих станций ODW, исполняющих Cube, будет представляться на экпозиции Gentoo на FOSDEM в Брюсселе 26-27 февраля 2005.
Продолжаем обзор целей, установленных проектами внутри Gentoo Linux. На этой неделе посмотрим на планы группы Hardened (укрепленного Gentoo): Hardened
Konversation: различные уязвимости Konversation содержит множественные уязвимости, которые могут привести к удаленному исполнению команды или утечкам информации. За более подробной информацией обращайтесь к предупреждению GLSA (англ.) Evolution: переполнение целой переменной в camel-lock-helper Переполнение в приложении camel-lock-helper может быть эксплуатировано атакующим для исполнения произвольного кода с повышенными привилегиями. За более подробной информацией обращайтесь к предупреждению GLSA (англ.) AWStats: удаленное исполнение кода AWStats не может проверить определенный ввод, что может привести к удаленному исполнению произвольного кода. За более подробной информацией обращайтесь к предупреждению GLSA (англ.) GraphicsMagick: PSD decoding heap переполнение GraphicsMagick уязвим для переполнения кучи, когда декодирует файлы Photoshop Document (PSD), что может привести к исполнению произвольного кода. За более подробной информацией обращайтесь к предупреждению GLSA (англ.) Perl: rmtree и DBI tmpfile уязвимости Библиотека Perl DBI library и функция File::Path::rmtree уязвимы к атакам символьных ссылок. За более подробной информацией обращайтесь к предупреждению GLSA (англ.) SquirrelMail: множественные уязвимости SquirrelMail не может должным образом обезопасить ввод пользователя, что может привести к исполнению произвольного кода и поставить под угрозу учетные записи веб-почты. За более подробной информацией обращайтесь к предупреждению GLSA (англ.) ngIRCd уязвим к переполнению буфера, которое может быть использовано, чтобы вызвать сбой демона и возможно, исполнить произвольный код. За более подробной информацией обращайтесь к предупреждению GLSA (англ.) TikiWiki: исполнение произвольной команды Ошибка в TikiWiki позволяет определенным пользователям закачивать и исполнять вредительские PHP-скрипты. За более подробной информацией обращайтесь к предупреждению GLSA (англ.) VDR: перезапись произвольного файла VDR небезопасно получает доступ к файлам с повышенными привилегиями, что может привести к перезаписи произвольных файлов. За более подробной информацией обращайтесь к предупреждению GLSA (англ.) f2c: небезопасное создание временных файлов f2c уязвим к симлинк атакам, потенциально разрешая пользователю переписать произвольные файлы. За более подробной информацией обращайтесь к предупреждению GLSA (англ.) ncpfs: множественные уязвимости Утилиты ncpfs содержат множественные уязвимости, которые потенциально могут привести к удаленному исполнению произвольного кода или доступу к локальным файлам с повышенными привилегиями. За более подробной информацией обращайтесь к предупреждению GLSA (англ.) (В этом выпуске раздел не переведен.) Лавина сообщений о Gentoo/OpenSolaris в СМИ "Смешанные чувства" — вот наилучшее описание мнения сообщества о выпуске OpenSolaris корпорации Sun. Независимо от того критикуют ли они этот шаг Sun или нет, многие авторы приветствуют Portaris и проект Gentoo/OpenSolaris как очень интересный аспект этого. Вот небольшой список вырезок из прессы со всего мира, покрывающий обьявления Sun и Gentoo:
"Gentoo, сделанный правильно" заголовок статьи в Mad Penguin о Vidalinux, основанный на Gentoo дистрибутив с инсталлятором Anaconda от RedHat и бинарниками ядра системы Gentoo. Пуэрто-риканский дистрибутив — "по сути установка стадии 3" — получает полный энтузиазма обзор и автор Adam Doxtater заканчивает рекоммендацией его "любому желающему попробовать Gentoo Linux но не имеющему времени компилировать все самому чтобы запустить базовую систему." Немецкий онлайновый журнал о Linux поместил информацию о продажах рабочих станций Open Desktop Workstation компании Genesi в статье о PegasosPPC рабочих станциях с предустановленным Gentoo. Pro-Linux цитирует обьявление GWN прошлой недели и добавляет некоторые заметки о платформе в целом, идентифицируя, в числе других особенностей, ODW как "реинкарнацию Amiga." Сообщество Gentoo использует Bugzilla (bugs.gentoo.org) для записи и слежения за ошибками, уведомлениями, внесением предложений и любого другого взаимодействия с командой разработчиков. За период с 23 по 30 января 2005, активность на сайте привела к следующим результатам:
Из 7945 ошибок, открытых на данный момент: 109 помечены как 'блокирующие', 240 как 'критические' и 584 как 'важные'. Разработчики и команды, которые закрыли наибольшее количество ошибок за этот период:
Разработчики и команды, которым за этот период было назначено наибольшее количество ошибок:
7. Перемещения разработчиков Gentoo Следующие разработчики недавно вышли из проекта Gentoo:
Следующие разработчики недавно присоединились к проекту Gentoo:
Следующие разработчики недавно сменили роль в проекте Gentoo:
Пожалуйста, помогите нам улучшить еженедельник Gentoo, высказав свое мнение! Для подписки на еженедельник Gentoo (англ.), отправьте пустое сообщение на gentoo-gwn+subscribe@gentoo.org. Для отказа от подписки на еженедельник Gentoo (англ.), отправьте пустое сообщение на gentoo-gwn+unsubscribe@gentoo.org с того же адреса, на который оформлена подписка. Еженедельник Gentoo переводится на следующие языки:
|
|
