Еженедельник Gentoo: 7 марта 2005 годаGentoo 2005.0 пересобирают из-за проблем с безопасностью Несколько ошибок с эксплойтами в gaim и mozilla-firefox (удаленное исполнение), а также в qt и kdelibs (локальное исполнение) были обнаружены как раз во время финальной сборки релиза Gentoo Linux 2005.0. Несмотря на то, что учет этих ошибок привел к остановке сборки за считанные часы до окончания, команда инженеров Gentoo release единодушно решила прервать сборку и перестроить релиз, исправив все ошибки, обнаруженные на данный момент. Благодарим команду Gentoo security за обнаружение ошибок, а также ведущих разработчиков профилей за терпение, проявленное ко всем задержкам, и повторное тестирование сборки на различных архитектурах! Переехал Gentoo staging/master rsync сервер Благораря подаренному компанией Nvidia серверу на Opteron 246, зеркало Gentoo и основной rsync сервер в данный момент работают на новом оборудовании. Lance Albertson и Nick Jones практически без проблем завершили перенос дерева портов Portage в прошлую среду. Данный сервер синхронизируется с CVS репозитарием каждые тридцать минут, затем обновляет depcache что приводит к большому числу операций I/O и занимает много времени. Именно с ним синхронизируются общедоступные rsync сервера. Старый сервер был однопроцессорным 1Ghz Pentium III и требовал на процесс обновления от 10 до 30 минут. Новый Opteron выполняет те же операции а течении 1-2 минуты. Это потрясающее увеличение производительности однозначно позволит нам нормально переносить большую нагрузку по мере того, как дерево портов будет продолжать расти. В качестве примечания, заметим, что частота обновления не была изменена, так что, пожалуйста, не тратьте свое время, пытаясь синхронизироваться каждые две минуты. Также, месяц назад большинство файлов зеркала были перенесены на данный сервер, за исключением distfiles. У нас заканчивается свободное место на старом сервере, в то время как на новом много свободного пространства для наших растущих задач. Nick Jones на данный момент работает над улучшением скрипта, который вылавливает отсутствующие и удаляет старые distfiles. Надеемся на то, что мы начем использовать данный скрипт в работе в течении следующих пары недель, дабы сохранить свободное место на наших зеркалах для других проектов. Обновление программного обеспечения форума Программные обновления, происходящие на Gentoo Forums, скоро вполне могут потребовать свою еженедельную колонку. Частота обновлений в течение последних недель и так была высока, но цель всех этих изменений лишь в том, чтобы можно было проводить ещё большие изменения. Ждите много нового, особенно относительно "Миссии UTF-8": продолжающихся усилий перевести форумы полностью на Юникод, поддержка которого уже была осуществлена в инструментах, которые позволят переключиться на Юникод в течение следующих нескольких месяцев. Три серьезных изменения были сделаны за последние две недели:
Внимание: расположение системных приложений изменено! Ciaran McCreesh сейчас занят срочным перемещением более чем 200 пакетов, содержащихся в категории Портежей sys-apps в прочие категории, часть — в уже существующие, часть же найдет себе новое место в дереве портов. Приложения, место расположения которых ещё остается под вопросом перечислены в файле расположенном на рабочей странице Ciaran'а. Если у вас возникнут проблемы с пакетом после того как он будет перемещен, пожалуйста перешлите уведомление об ошибке или сообщите Ciaran на irc.freenode.net. Пользователям Gentoo c sys-apps, расположенными в собственном overlay особенно рекомендуется обратить внимание на это изменение. Ищем примеры использования Gentoo в бизнесе То, что нас тут в Gentoo всегда интересовало, так это информация о том как люди используют Gentoo чтобы облегчить себе жизнь. Это может быть что угодно — начиная с использования машин с Gentoo для рендеринг-кластера или корпоративной десктоп платформы, до всего лишь небольшого фаервола. Подобная информация может помочь нам лучше определить, чем же мы занимаемся и на чем следует сосредоточить наши усилия. Если использование Gentoo привело вас к успеху, то мы будем рады услышать эту историю! Истории о массовом применении Gentoo или использовании в необычном аспекте — это именно то, что интересует нас больше всего. Присылайте ваши рассказы на usage-feedback@gentoo.org прямо сейчас.
"Лучшее что есть в Gentoo — это сообщество." — Albert Hopkins (marduk)
Разработчик этой недели Marduk член Infrastructure group, которая отвечает за разработку и поддержание одной из самых существенных частей веб сайта Gentoo, страницы packages.gentoo.org. Его интересуeт и многое другое в Gentoo, но обеспечение работоспособности сайта с базой данных пакетов, исправление ошибок и новые разработки отнимают большую часть его свободного времени, хотя это не мешает ему заниматься процессом переписывания внешнего вида сайта, у него много амбиций и по поводу нового сайта, куда больше чем мы можем тут перечислить...
Gentoo — наиболее существенный из OSS проектов на данный момент, хотя Marduk занимается разработками программного обеспечения с открытыми кодами уже несколько лет. Он является автором программы Linbot, написанной на Python, веб-бота, отслеживающего и проверяющего веб-ссылки, которая добилась большого признания в свое время: обзоры в журналах о Linux, включение в дистрибутивы и книгу о Python. "Я страстный любитель языка программирования Python. Я пишу на Python с 1997-го. Несмотря на то, что я иногда посматриваю на другие языки программирования, я все время возвращаюсь к Python", говорит Marduk. К несчастью для Linbot, он получил в свое время письмо "прекратить и остановиться", поскольку название программы был слишком похоже на название коммерческого продукта, и с тех пор он забросил проект. Несколько небольших программ, которые он продолжает поддерживать, находятся на его собственной страничке. Marduk системный администратор Linux и Linux-подобных систем в большой медицинской лаборатории в Соединенных Штатах. Будучи выгнанным из колледжа, он, тем не менее, поступил в Cornell University по специальности Электротехника. Ему приходится работать с суперкомпьютерами, что его всегда интересовало, поскольку сохраняя яркий интрес к высокопроизволительным вычислениям, он не имел возможности получить нужное оборудование самостоятельно. Его текущая основная машина недавно была проапгрейдена до AMD64, и он уверен что "она самая навороченная", как говорит Marduk. "Первое что я на ней запустил был evolution, и если вы выполните ps на моей машине, вы кроме него увидите vim, epiphany, gnome-terminal и, конечно же, python." Мардук живет в Далласе, штат Техас. Он не женат (в данный момент принимает предложения), и его увлечения кроме компьютеров — коллекционирование цитат из диалогов и фильмов, дальние поездки на его Audi TT, индийская музыка, тишина, науки и социология. Германия: Chemnitzer Linuxtage Lars Weiler, Tobias Scherbaum и Jens Blaesche ("Mr. Big") представляли Gentoo на нынешней Chemnitzer Linuxtage, конференции и выставке в регионе Саксония в восточной Германии, важность которой выросла с тех пор как она была впервые организована в прошлом году, с большим количеством презентаций, привычными участниками в выставочном зале и порядочной массой людей, в основном из самой Саксонии, а также и из других частей Германии. В павильоне Gentoo демонстрировали Pegasos Open Desktop Workstation, Sun Ultra10 под управлением Gentoo и недавнее Брюссельское изобретение — коробки конфет /dev/snack, также популярные у посетителей. Что особенно порадовало сотрудников павильона, участвовавших в прошлогодней выставке: посетители, которых они встретили тогда и которые задавали в основном вопросы вроде "Что такое Gentoo?", возвращались теперь в футболках, гласящих "Приверженнец Portage" и с лаптопами под управлением Gentoo Linux. Немецкая версия Fizzlewizzle LiveDVD (смотри FOSDEM отчет от прошлой недели), полностью с KDE и исходниками distfiles, был топ-селлером на этом мероприятии, и очень желанный в этом районе Германии, где получить широкополосное Интернет соединение достаточно сложно.
Напроминания о международных мероприятиях Два события намечены на следующий уик-энд, одно в Манчестере, где Stuart Herbert ожидает британских разработчиков и пользователей Gentoo на второй Gentoo UK Conference, и Expo в Lorrach (Германия, поблизости от швейцарской границы) с павильоном Gentoo.
OSdir.com (4 марта 2005, на английском) Отсутствие форумов поддержки или других видов поддержки от пользователей стало темой статьи в журнале об операционных системах O'Reilly. Автор Steve Mallett спрашивает"Где же сообщество SuSE?", и сравнивает недостающее присутвие сообщества пользователей с другими популярными дистрибутивами: "Поиск о Fedora, Mandrake или Gentoo, например, и вы без проблем находите форумы, вики, оффициальные и неоффициальные FAQ. Следы жизни." подметил редактор OSdir.com. Apple-Linux.org (3 марта 2005, на французском) Автор Prosper описывает проэкт gentoo-stats в статье в французском Линукс форуме для компьютеров Apple. "Проэкт basc позволяет рассчитать продолжительность установки ebuild'а. Пакеты представлены как GU (Единицы Генту (Gentoo units)), если вы знаете сколько секунд занимает компиляция одной GU на вашей системе, достаточно просто умножить их." Todo-Linux.com (28 февраля 2005, на испанском) Испанский журнал сообщает о том как Intel и AMD проталкивают 64-битные вычисления в пользовательскую сферу, и делает замечание что в то время как Microsoft все еще не имеет операционной системы, полностью поддерживающей аппаратное обеспечение, дистрибутивы Линукс, "например Gentoo", являются в полной мере функционирующими в условиях 64-бит. Emerge флаги, заслуживающие большего внимания Есть несколько флагов emerge, которые могут показать вам что же комманда делает или собирается сделать. Мы описывали некоторые их новейших флагов, которые были добавлены в portage-2.0.51, но существуют также парочка старых опций, о которых пользователи возможно уже забыли. Вот небольшой обзор двух из них. Возможно немного более часто используемый — это первый, --verbose, или -v. Он показывает какие USE флаги данный пакет распознает, и какие из них в данный момент включены и какие выключены. Если вы запустили emerge с --newuse флагом, то флаги, которые изменили свое значение с момента последней компиляции, помечаются звездочкой. Он также отображает размер файла, который предстоит скачать для данного пакета, в добавок к полному размеру скачивания всех необходимых пакетов. Второй — это --tree, или -t. Он показывает дерево зависимостей. Вот пример, иллюстрирующий эффект флага:
Обьединив --verbose и --tree, вы получите более четкую картину о том что именно делает emerge. Разумеется, что это очень упрощает регулирование USE флагами для лучшего контроля над устанавливаемыми пакетами. 6. Перемещения разработчиков Gentoo Следующие разработчики недавно вышли из проекта Gentoo:
Следующие разработчики недавно присоединились к проекту Gentoo:
Следующие разработчики недавно сменили роль в проекте Gentoo:
MediaWiki: множественные уязвимости MediaWiki уязвима к кросс-сайт скриптингу, манипуляции данными и атакам, обходящим защиту. За дополнительными сведениями обращайтесь к предупреждению GLSA (англ.) Qt: путь поиска в недоверенной библотеке Qt может загружать shared библиотеки с недоверенной директории, доступной для записи, с возможным исполнениеи произвольного кода. За дополнительными сведениями обращайтесь к предупреждению GLSA (англ.) phpBB: множественные уязвимости Несколько уязвимостей позволяют удаленным атакующим получить права администратора phpBB или получить доступ и манипулировать засекреченными данными. За дополнительными сведениями обращайтесь к предупреждению GLSA (англ.) Множественные уязвимости были найдены в Gaim, которые могут позволить удаленному атакующему прервать исполнение приложения. За дополнительными сведениями обращайтесь к предупреждению GLSA (англ.) phpWebSite: произвольное PHP исполнение и раскрытие пути Удаленные атакующие могут закачать и исполнить произвольные PHP скрипты, другая уязвимость открывает полный путь скриптов. За дополнительными сведениями обращайтесь к предупреждению GLSA (англ.) xli, xloadimage: множественные уязвимости xli b xloadimage имеют множественные уязвимости, потенциально приводящие к исполнению произвольного кода. За дополнительными сведениями обращайтесь к предупреждению GLSA (англ.) BidWatcher: уязвимость форматирования строки BidWatcher имеет уязвимость форматирования строки, потенциально позволяющая исполнение произвольного кода. За дополнительными сведениями обращайтесь к предупреждению GLSA (англ.) phpMyAdmin: множественные уязвимости phpMyAdmin содержит множественные уязвимости, которые могут привести к исполнению комманд, XSS проблемам и обходу защитных ограничений. За дополнительными сведениями обращайтесь к предупреждению GLSA (англ.) OpenMotif, LessTif: новые переполнения буффера libXpm Новая уязвимость была найдена в libXpm, которая включена в OpenMotif и LessTif, которая может потенциально привести к удаленному исполнению кода. За дополнительными сведениями обращайтесь к предупреждению GLSA (англ.) xv: уязвимость обработки имени файла xv содержит уязвимость форматирования строки, потенциально приводящей к исполнению произвольного кода. За дополнительными сведениями обращайтесь к предупреждению GLSA (англ.) Mozilla Firefox: множественные уязвимости Mozilla Firefox уязвима к проблеме удаления локального файла и к другим проблемам, позволяющим заставить пользователя поверить ложным веб сайтам или взаимодействовать с привилегированным содержимым. За дополнительными сведениями обращайтесь к предупреждению GLSA (англ.) ImageMagick: уязвимость обработки имени файла Уязвимость обработки имени файла существует в ImageMagick, позволяющаю атакующему исполнить произвольный код. За дополнительными сведениями обращайтесь к предупреждению GLSA (англ.) Hashcash: уязвимость форматирования строки Уязвимость форматирования строки в утилите Hashcash может позволить атакующему исполнить произвольный код. За дополнительными сведениями обращайтесь к предупреждению GLSA (англ.) Сообщество Gentoo использует Bugzilla (bugs.gentoo.org) для записи и слежения за ошибками, уведомлениями, внесением предложений и любого другого взаимодействия с командой разработчиков. За период с 27 февраля по 6 марта 2005, активность на сайте привела к следующим результатам:
Из 8186 ошибок, открытых на данный момент: 97 помечены как 'блокирующие', 231 как 'критические' и 602 как 'важные'. Разработчики и команды, которые закрыли наибольшее количество ошибок за этот период:
Разработчики и команды, которым за этот период было назначено наибольшее количество ошибок:
Пожалуйста, помогите нам улучшить еженедельник Gentoo, высказав свое мнение! Для подписки на еженедельник Gentoo (англ.), отправьте пустое сообщение на gentoo-gwn+subscribe@gentoo.org. Для отказа от подписки на еженедельник Gentoo (англ.), отправьте пустое сообщение на gentoo-gwn+unsubscribe@gentoo.org с того же адреса, на который оформлена подписка. Еженедельник Gentoo переводится на следующие языки:
|
|
