Рисунок 1.1: Gentoo Linux GameCD для PPC. Художественное оформление: Christian Hartmann
Joseph Pingenot, член крипто-группы Gentoo, изначально предложил, а теперь и поставил целью осуществить в Gentoo поддержку Trusted Computing Group (TCG — бывшая ранее Trusted Computing Platform Alliance или TCPA) в этом году.
TCG — это открытый стандарт спецификаций аппаратного обеспечения, определяющий криптографические функции (Trusted Platform Module — TPM), которые держат закрытые ключи отдельно от системной памяти. Аппаратное обеспечение также обеспечивает доверенные функции загрузки (TCG Software Stack — TSS), которые следят, чтобы закрытые ключи не смогли быть использованы в случае, если операционная система сменяется на недоверенную.
Приложениями TSS архитектур TCG, которые были бы желательны для Gentoo, являются:
TPM позволяет хранить криптографические ключи в аппаратном обеспечении вместо их помещения в файловой системе. Например:
Если вы заинтересованы в пожертвовании аппаратуры или принятии участия в разработке, свяжитесь с Henrik Brix Andersen'ом или Peter Johanson'ом. Разработчикам придется в большей степени работать независимо, и запастись хорошим пониманием архитектур безопасности и языка C. TPM-эмулятор, который может пригодиться, находится здесь.
Ищем EM64T разработчиков, оборудование, и AMD64 "арх-тестеров"
Команда Gentoo/AMD64 ищет разработчиков, которые могли бы помочь расширить поддержку x86-64 процессоров компании Intel, линейки продуктов EM64T. Разработчики должны иметь свою аппаратуру и большей частью осуществлять тестирование ядра, поскольку чипсеты на материнских платах EM64T различны. Пожалуйста, свяжитесь с Jason Huebel'ом, если вы желаете помочь с этим.
Команда AMD64 также обьявила, что ищет "арх-тестеров" или AT, т.е. не-разработчиков, которые могли бы помочь вылавливать ошибки и помечать приложения как стабильные среди множества уже доступных ebuild'ов.
Команда PPC выпустила прототип первого полностью графического LiveCD для платформы PowerPC, включающий многопользовательскую трехмерную OpenGL/SDL-игру под названием Cube. Разработанный для PegasosPPC, вариант CD для Macintosh уже в работе. 198-мегабайтный GameCD уже доступен для скачивания с зеркал (в каталоге experimental/ppc/livecd). Целый кластер рабочих станций ODW, исполняющих Cube, будет представляться на экпозиции Gentoo на FOSDEM в Брюсселе 26-27 февраля 2005.
Рисунок 1.1: Gentoo Linux GameCD для PPC. Художественное оформление: Christian Hartmann |
|
Продолжаем обзор целей, установленных проектами внутри Gentoo Linux. На этой неделе посмотрим на планы группы Hardened (укрепленного Gentoo):
Hardened
Konversation: различные уязвимости
Konversation содержит множественные уязвимости, которые могут привести к удаленному исполнению команды или утечкам информации.
За более подробной информацией обращайтесь к предупреждению GLSA (англ.)
Evolution: переполнение целой переменной в camel-lock-helper
Переполнение в приложении camel-lock-helper может быть эксплуатировано атакующим для исполнения произвольного кода с повышенными привилегиями.
За более подробной информацией обращайтесь к предупреждению GLSA (англ.)
AWStats: удаленное исполнение кода
AWStats не может проверить определенный ввод, что может привести к удаленному исполнению произвольного кода.
За более подробной информацией обращайтесь к предупреждению GLSA (англ.)
GraphicsMagick: PSD decoding heap переполнение
GraphicsMagick уязвим для переполнения кучи, когда декодирует файлы Photoshop Document (PSD), что может привести к исполнению произвольного кода.
За более подробной информацией обращайтесь к предупреждению GLSA (англ.)
Perl: rmtree и DBI tmpfile уязвимости
Библиотека Perl DBI library и функция File::Path::rmtree уязвимы к атакам символьных ссылок.
За более подробной информацией обращайтесь к предупреждению GLSA (англ.)
SquirrelMail: множественные уязвимости
SquirrelMail не может должным образом обезопасить ввод пользователя, что может привести к исполнению произвольного кода и поставить под угрозу учетные записи веб-почты.
За более подробной информацией обращайтесь к предупреждению GLSA (англ.)
ngIRCd уязвим к переполнению буфера, которое может быть использовано, чтобы вызвать сбой демона и возможно, исполнить произвольный код.
За более подробной информацией обращайтесь к предупреждению GLSA (англ.)
TikiWiki: исполнение произвольной команды
Ошибка в TikiWiki позволяет определенным пользователям закачивать и исполнять вредительские PHP-скрипты.
За более подробной информацией обращайтесь к предупреждению GLSA (англ.)
VDR: перезапись произвольного файла
VDR небезопасно получает доступ к файлам с повышенными привилегиями, что может привести к перезаписи произвольных файлов.
За более подробной информацией обращайтесь к предупреждению GLSA (англ.)
f2c: небезопасное создание временных файлов
f2c уязвим к симлинк атакам, потенциально разрешая пользователю переписать произвольные файлы.
За более подробной информацией обращайтесь к предупреждению GLSA (англ.)
ncpfs: множественные уязвимости
Утилиты ncpfs содержат множественные уязвимости, которые потенциально могут привести к удаленному исполнению произвольного кода или доступу к локальным файлам с повышенными привилегиями.
За более подробной информацией обращайтесь к предупреждению GLSA (англ.)
(В этом выпуске раздел не переведен.)
Лавина сообщений о Gentoo/OpenSolaris в СМИ
"Смешанные чувства" — вот наилучшее описание мнения сообщества о выпуске OpenSolaris корпорации Sun. Независимо от того критикуют ли они этот шаг Sun или нет, многие авторы приветствуют Portaris и проект Gentoo/OpenSolaris как очень интересный аспект этого. Вот небольшой список вырезок из прессы со всего мира, покрывающий обьявления Sun и Gentoo:
"Gentoo, сделанный правильно" заголовок статьи в Mad Penguin о Vidalinux, основанный на Gentoo дистрибутив с инсталлятором Anaconda от RedHat и бинарниками ядра системы Gentoo. Пуэрто-риканский дистрибутив — "по сути установка стадии 3" — получает полный энтузиазма обзор и автор Adam Doxtater заканчивает рекоммендацией его "любому желающему попробовать Gentoo Linux но не имеющему времени компилировать все самому чтобы запустить базовую систему."
Немецкий онлайновый журнал о Linux поместил информацию о продажах рабочих станций Open Desktop Workstation компании Genesi в статье о PegasosPPC рабочих станциях с предустановленным Gentoo. Pro-Linux цитирует обьявление GWN прошлой недели и добавляет некоторые заметки о платформе в целом, идентифицируя, в числе других особенностей, ODW как "реинкарнацию Amiga."
Сообщество Gentoo использует Bugzilla (bugs.gentoo.org) для записи и слежения за ошибками, уведомлениями, внесением предложений и любого другого взаимодействия с командой разработчиков. За период с 23 по 30 января 2005, активность на сайте привела к следующим результатам:
Из 7945 ошибок, открытых на данный момент: 109 помечены как 'блокирующие', 240 как 'критические' и 584 как 'важные'.
Разработчики и команды, которые закрыли наибольшее количество ошибок за этот период:
Разработчики и команды, которым за этот период было назначено наибольшее количество ошибок:
7. Перемещения разработчиков Gentoo
Следующие разработчики недавно вышли из проекта Gentoo:
Следующие разработчики недавно присоединились к проекту Gentoo:
Следующие разработчики недавно сменили роль в проекте Gentoo:
Пожалуйста, помогите нам улучшить еженедельник Gentoo, высказав свое мнение!
Для подписки на еженедельник Gentoo (англ.), отправьте пустое сообщение на gentoo-gwn+subscribe@gentoo.org.
Для отказа от подписки на еженедельник Gentoo (англ.), отправьте пустое сообщение на gentoo-gwn+unsubscribe@gentoo.org с того же адреса, на который оформлена подписка.
Еженедельник Gentoo переводится на следующие языки: