Главная

Gentoo Weekly Newsletter -- 27 марта 2006

aluk 29 марта, 2006 - 12:07

Еженедельный Информационный Бюллетень Gentoo
27 марта 2006

Перевод подготовил:
  Amsand
Редактор:
  aluk

Еженедельный Информационный Бюллетень Gentoo: 27 марта 2006 года

1. Новости Gentoo

Кампания по набору добровольцев в Security Team

Безопасность всегда была одним из самых сильных аспектов проекта Gentoo. Чтобы предотвратить снижение качества GLSA, Security Team приступила к активным поискам дополнительной помощи со стороны как существующих, так и будущих разработчиков. Кампания по набору добровольцев ставит перед собой цель компенсировать потенциальные проблемы, которые могут привести к задержке исправления ошибок безопасности, включая отсутствие или неактивность кураторов (майнтейнеров) пакетов, а также недостаток координаторов GLSA. Другие области, требующие дополнительной поддержки - это KISS (система безопасности ядра) и интеграция glsa-check в Portage. Если у вас есть желание и возможность помочь в том или ином вопросе, связанном с безопасностью, свяжитесь, пожалуйста, с одним из лидеров проекта или подпроектов:

Замечание: см. отчёт security team для получения доп. информации.

Изменена категория Bugzilla для проекта инсталлятора

Кураторы [url=]bugs.gentoo.org[/url] удалили старый компонент "Gentoo Linux Installer" (GLI) из категории "Gentoo Linux". Вместо этого добавлен компонент "Installer" в подкатегорию "Gentoo Release Media". Все существующие сообщения об ошибках уже перенесены, и если вы собираетесь отправить сообщение, касающееся инсталлятора, пожалуйста, используйте новый компонент!

Ruby on Rails 1.1 RC1 вошёл в Portage

Первый релиз-кандидат Ruby on Rails 1.1 теперь доступен в Portage. Для пользователей, использующих ~arch, будет добавлена новая версия без удаления старой. Они смогут использовать новую версию, но можно всё ещё привязываться и к старой, если в этом есть необходимость. Все версии Portage заканчиваются на .4008, что отражает номер коммита в репозитарии subversion для релиза 1.1_RC1.

Пользователи, желающие попробовать новую версию, приветствуются, сообщения об ошибках отправляйте либо на Gentoo, либо на http://dev.rubyonrails.org. Те, кто хочет использовать для существующих приложений конкретную версию Rails, могут посетить следующие ссылки, поясняющие, как это сделать:

2. Что слышно в сообществе

Интернет-форумы

Временная зона для Австралии и Новой Зеландии

Данные временных зон в Gentoo не обновились с момента появления поддержки изменения временной зоны, выполненной для Игр Содружества, состоявшихся в Австралии в конце марта. Несколько австралийских штатов отложили переход на летнее время до 2 апреля. Чтобы избежать "убегания" часов но один час вперёд в течение недели, просмотрите это обсуждение:

Внезапный крах темницы

Безопасны ли игры в Gentoo? Недавно обнаруженная "дыра" в Nethack разожгла эту бурную дискуссию. Хотя уязвимость и не в Nethack. Она вызвана, между прочим, обработкой игр в Gentoo и не является проблемой в других дистрибутивах. Нужно ли нам искать другой способ оперировать играми? Присоединяйтесь к обсуждению!

3. Gentoo в прессе

ZDNet France (20 марта 2006 г., Франция)

"Renaissance" - это название анимированного фильма Кристиана Волькмана, действие которого происходит в Париже в 2054 году. Похищен молодой учёный, и мрачный офицер полиции пытается его вернуть. Движения реальных актёров, вовлеченных в работу над этой "анимированной Матрицей", просто перехватываются и преобразуются в сгенерированные компьютером чёрно-белые изображения, рендеринг которых выполняется на кластере из 200 серверов с Gentoo Linux. Сайт French ZDNet рассказывает об этом в интересной статье, в основе которой - интервью с Жульеном Дуссо, техническим директором "Attitude Studio", креативной команды, стоящей за сценой. В кинотеатрах Франции картина идёт с прошлой недели.

Newsforge (21 марта 2006 г.)

"A distro of power" - так Джозеф Квигли (Joseph Quigley) назвал Gentoo Linux в своих рекомендациях, опубликованных в прошлый вторник в приложении к минисерии Newsforge "My Desktop OS". Несмотря на то, что он запускал Gentoo на "системе нижнего уровня", его поразило, что он "смог смотреть DVD и одновременно компилировать KDE почти без замираний и рывков". Не все согласятся, что его Semtron 2300 c 1.58 ГГц и 512 МБ памяти относится к машинам "нижнего уровня", но затем снова: "Если у вас мощная система, вы всё равно не разочаруетесь", сказал Квигли.

4. Перемещения разработчиков Gentoo

Перемещения

Следующие разработчики оставили проект Gentoo в последнее время:

  • Никого на этой неделе

Добавления

Следующие разработчики недавно присоединились к проекту Gentoo:

  • Никого на этой неделе

Изменения

Изменились роли следующих рабработчиков проекта Gentoo:

  • Thierry Carrez (koon)
  • Stefan Cornelius (DerCorny)

5. Безопасность Gentoo

PeerCast: переполнение буфера

Переполнение буфера в PeerCast может привести к выполнению произвольного кода.

Дополнительную информацию можно получить на GLSA Announcement

Pngcrush: переполнение буфера

Переполнение буфера в Pngcrush потенциально может позволить выполнить произвольный код.

Дополнительную информацию можно получить на GLSA Announcement

cURL/libcurl: переполнение буфера при обработке URL TFTP

libcurl подвержена переполнению буфера при обработке URL протокола TFTP, что может привести к компроментации пользовальской системы.

Дополнительную информацию можно получить на GLSA Announcement

Macromedia Flash Player: выполнение произвольного кода

Выявлены множественные уязвимости, которые позволяют выполнить произвольный код на пользовательской системе при обработке злонамеренный SWF-файлов.

Дополнительную информацию можно получить на GLSA Announcement

Sendmail: состояние гонки при обработке асинхронных сигналов

Уязвимость в Sendmail может вызвать состояние гонки (race condition), что может привести к выполнению произвольного кода с привилегиями процесса sendmail.

Дополнительную информацию можно получить на GLSA Announcement

PHP: уязвимости XSS и форматной строки

Множественные уязвимости в PHP позволяют удалённому атакующему вставить произвольные HTTP-заголовки, осуществить кроссайтовый скриптинг или в некоторых случаях выполнить произвольный код.

Дополнительную информацию можно получить на GLSA Announcement

NetHack, Slash'EM, Falcom's Eye: повышение привилегий локального пользователя

Уязвимости в NetHack, Slash'EM и Falcom's Eye позволяют повысить привилегии локального пользователя, что потенциально может привести к выполнению произвольного кода другими пользователями.

Дополнительную информацию можно получить на GLSA Announcement

RealPlayer: переполнение буфера

Переполнение буфера в RealPlayer позволяет удалённо выполнить произвольный код.

Дополнительную информацию можно получить на GLSA Announcement

6. Bugzilla

Статистика

Сообщество Gentoo использует Bugzilla (bugs.gentoo.org) для записи и слежения за ошибками, уведомлениями, предложениями, и для прочего взаимодействия с командой разработчиков. Результаты работы сайта за период с 5 по 12 марта 2006 г. следующие:

  • 832 новых сообщений об ошибках
  • 481 ошибок закрыто или устранено
  • 27 закрытых ранее ошибок открыты повторно

Из открытых в настоящее время 9756 ошибок 66 помечены как "блокирующие", 150 - как "критические" и 536 - как "важные".

Распределение закрытых ошибок

Разработчики и команды, которые закрыли наибольшее количество ошибок за рассматриваемый период:

Распределение новых ошибок

Разработчики и команды, которые выявили наибольшее число новых ошибок за этот период:

7. Обратная связь с GWN

Пожалуйста, присылайте нам ваши отзывы, чтобы сделать GWN лучше.

8. Информация о подписке на GWN

Чтобы подписаться на Gentoo Weekly Newsletter, отправьте пустое письмо на адрес gentoo-gwn+subscribe@gentoo.org.

Чтобы отписаться от Gentoo Weekly Newsletter, отправьте пустое письмо на адрес gentoo-gwn+unsubscribe@gentoo.org.

»