Gentoo Weekly Newsletter: 2007年10月15日
1. 倾听社区
Planet Gentoo
Gentoo架构测试
如何才能保证进入稳定分支中的包的确是稳定的?x86小组成员opfer向我们描述了架构小组采用的方法。他细数了其中的每一个步骤,甚至“抱怨”很多工作有些烦人且重复。GATT,是“Gentoo架构测试工具”的缩写,它由Matthias Langer开发,能够自动处理架构测试员(Arch Tester)面临的许多问题。实践证明它确实很管用。
Linux 2.6.23
为了配合新版本的内核,dsd,gentoo-sources的维护者,列出了由2.6.22到新版本内核的一些更新。这其中包括了以uvesafb替代vesafb-tng。
Gentoo论坛
内核的选择
在论坛的一个帖子里,人们愉快地讨论着哪个内核是最受欢迎的,并为此进行投票。gentoo-sources目前得票最多,但也有相当一部分人群选择其它内核。你选择哪个呢?
阻挡包之“福音”
在Gentoo论坛中开始了一个新话题,以kdebase-kioslaves为例,讨论了当遇到阻挡包(blocker)时该如何处理。它的表现方法比我们通常所做的更有创造性。它用一种“圣经”式的对话方式,让用户与Portage对话,表达了寻求解决方法之困难。一些回复者还在继续用这种风格讨论,使这个话题读起来很有趣。
2. Gentoo媒体
fit-PC
ExtremeTech评论了fit-PC,一种小巧的基于AMD Geode的系统,耗电只有3-5瓦,并且只售285美元。别看它个子小,它里面装了40G硬盘、两个以太网接口、两个USB接口、一个VGA接口,还有音频插孔和256M内存,这使它可以完美地用来做专门用来上网和收发邮件的机器,或者是防火墙/路由器,或者其他不太耗资源的任务。fit-PC支持Linux和Windows,据传支持Gentoo Linux。
虽然厂商CompuLab已经开始销售fit-PC,但可能要等到十二月晚些时候才能生产出更多产品。
3. 心得技巧
Apache配置变短--mod_macro概述
许多人有冗长的配置文件,一遍遍地声明同样的块,却只是改改域名和主目录。
类似的问题已经被Fabien Coelho提出来了:
我讨厌复制-粘贴。当配置appache服务器时,我经常不得不复制-粘贴一些部分,特别是配置虚拟主机(virtual hosts),要打开类似的特性或参数时。为了避免这个问题,我需要服务器的运行配置文件有某种宏功能。[……]
—Fabien Coelho
为坚持“保持简单”的哲学,他只引入了两个新“命令”:
- <Macro ...> ... </Macro>
- Use ...
让我们看一个真实世界中的例子吧:
代码 3.1: mod_macro使用例子 |
<Macro VHostCGI $customer $domain>
<VirtualHost $domain:80>
ServerName $domain
ServerAlias www.$domain
DocumentRoot /vaw/www/$customer/docroot/$domain/
ScriptAlias /cgi-bin/ /var/www/$customer/cgi-bin/
ErrorLog /var/log/apache/$customer/logs/$domain-error.log
CustomLog /var/log/apache/$customer/logs/$domain-access.log combined
<Directory /var/www/$customer/cgi-bin/>
Options ExecCGI
</Directory>
</VirtualHost>
</Macro>
Use VHostCGI customer1 example.com
Use VHostCGI customer15 sample.net
Use VHostCGI customer122 iamanexampletoo.org
|
如果适用的话,另一个例子将锁定一些目录:
代码 3.2: 另外一个mod_macro使用例子 |
<Macro PasswordProtect>
AuthName "Restricted area"
AuthType Basic
AuthUserFile /var/www/.htpasswd
require valid-user
</Macro>
<Directory /var/www/localhost/docroot>
Options Indexes
</Directory>
<Directory /var/www/localhost/docroot/internal>
Use PasswordProtect
Options -Indexes
</Directory>
<Directory /var/www/localhost/docroot/downloads>
Use PasswordProtect
Options +FollowSymLinks
</Directory>
|
正如你所看到的,你可以很容易的知道发生了什么,而用不着复制和粘贴任何代码片段:)。
要把它用在Gentoo上,只要emerge mod_macro,并且在/etc/conf.d/apache里用-D MACRO打开这个选项就行了。
关于该模块的更多信息可以在其主页找到。
4. 人员变更
离开
下列开发者最近离开Gentoo项目:
加入
下列开发者最近加入Gentoo项目:
变更
下列开发者最近改变了在Gentoo项目内的职位:
5. Gentoo安全
KDM:本地权限提升
KDM在特定的情形下允许无密码登录,并使本地用户可以获得更高的权限。
详情请见GLSA声明
X.Org X服务器:合成(Composite)本地权限提升
X.Org X服务器的合成扩展(Composite extension)中发现了一个漏洞,允许本地权限的提升。
详情请见GLSA声明
Balsa:缓冲区溢出
Balsa的缓存溢出漏洞允许在用户协助的条件下执行任意代码。
详情请见GLSA声明
util-linux:本地权限提升
mount和umount程序可能允许本地攻击者取得root权限。
详情请见GLSA声明
The Sleuth Kit:整数计算下溢漏洞
The Sleuth Kit中的一个整数计算下溢漏洞被报告可以允许在用户的协助的下执行任意代码。
详情请见GLSA声明
PDFKit, ImageKits:缓冲区溢出
PDFKit和ImageKits存在整数溢出和堆栈溢出问题,允许在用户协助的情况下执行任意代码。
详情请见GLSA声明
TikiWiki:任意命令执行漏洞
Tikiwiki的一个命令注入漏洞可允许远程执行任意代码。
详情请见GLSA声明
TRAMP:创建不安全的临时文件
GNU Emacs的TRAMP组件创建不安全的临时文件。
详情请见GLSA声明
Star:目录穿越漏洞
在Star中发现了一个目录穿越漏洞。
详情请见GLSA声明
OpenOffice.org:基于堆的缓冲区溢出
在OpenOffice.org中发现了一个基于堆的缓冲区溢出漏洞,这个漏洞导致可以远程执行任意代码。
详情请见GLSA声明
MLDonkey:权限提升漏洞
Gentoo MLDonkey的ebuild添加了一个用户到系统中,这个用户有合法的登录脚本,却没有密码。
详情请见GLSA声明
HPLIP:权限提升漏洞
hpssd后台程序可允许本地攻击者以root身份执行任意命令。
详情请见GLSA声明
ImageMagick:多个漏洞
在ImageMagick中发现多个漏洞,有可能导致任意代码的执行或拒绝服务。
详情请见GLSA声明
Qt:缓冲区溢出
在QT中发现了一个off-by-one漏洞,有可能导致任意代码的执行。
详情请见GLSA声明
Sylpheed,Claws Mail:用户协助下远程执行任意代码
在Sylpheed和Claw Mail中发现了一个格式化字符串漏洞,可能导致远程执行任意代码。
详情请见GLSA声明
6. 软件增减
这一章节列出了已经被移除或加入到portage里的,以及已经发布“最后仪式”声明的即将被移除的包。要移除的包来源于很多地方,包括树清理者项目和众多的开发者。列在最后仪式一节里的大部分包需要有人来维护,如果有人可以承担下维护的责任的话,它们可以得以继续保留在portage树里。
已经移除:
已经加入:
最后仪式:
7. Bugzilla
总结
统计信息
Gentoo社区使用Bugzilla (bugs.gentoo.org)来记录和追踪bug、提示、建议等形式的和开发团队之间的交流。从2007年10月07日到2007年10月13日,这个站点记录下了:
- 473个在这段时间内被发现的新bug
- 291个在这段时间内被修正或解决的bug
- 19个先前修复了的但在这段时间重现的bug
- 79个在这段时间内以NEEDINFO/WONTFIX/CANTFIX/INVALID/UPSTREAM的形式被关闭的bug
- 82个bug在这段时间被标记为重复
在当前还未被修正的9617个bug里面:11个被标记为“blocker”,102个被标记为“critical”,还有331个被标记为“major”。
被修复的bug排行榜
在这段时间内修复最多bug的开发者和团队有:
新bug排行榜
在这段时间内被分配得到最多的新bug的开发者和团队有:
8. 周报反馈
GWN的工作人员包括为GWN出谋划策和提交文章的志愿者和社区成员。如果你有兴趣成为GWN的作者,对我们发布的文章有意见建议,或者哪怕只是有点想法或文章要提交给GWN,都请把你的反馈发给我们以帮助我们把GWN做的更好。
9. 周报订阅
订阅Gentoo周报,请发一封空邮件到[email protected]。
退订Gentoo周报,请从你订阅的邮箱发一封空邮件到[email protected]。
10. 其他语言
Gentoo周报还被翻译为以下几种语言文字:
|