Nachrichten des Debian-Projekts - 26. Mai 2008

Willkommen zur dritten diesjährigen Ausgabe der DPN, dem Newsletter für die Debian-Gemeinschaft. Steve McIntyre hat eine weitere Notizen vom DPL-E-Mail verschickt. Kürzlich wurde ein ernsthaftes Problem in Debians OpenSSL-Paket behoben. Debian diskutiert eine Archivstruktur für große Pakete.

Neues vom Debian-Projektleiter

Steve McIntyre hat eine neue Ausgabe seiner Notizen vom DPL veröffentlicht, in der er von seinen aktuellen Aktivitäten als gewählter Projektleiter berichtet. Zunächst verweist er auf verschiedene Interviews, die er kürzlich gab, und führt dann mit Informationen über personelle Änderungen in den Kernteams fort. Jonathan McDowell wurde als Betreuer des Schlüsselrings hinzugefügt und arbeite bereits mit James Troup zusammen an einer einfacheren Verflechtung von Schlüsselringbetreuung und unserem LDAP-System zwecks einer besseren Kooperation mit den Debian-Systemadministratoren. Er dankt Anthony Towns, der die meisten seiner bisherigen Ämter niederlegte.

Zu guter Letzt erwähnt er die bevorstehende Debian-Konferenz in Mar del Plata, Argentinien. Organisatorisch sei man auf gutem Wege und Ankündigungen zu Konferenzbeiträgen, der Vortragsauswahl und Reisekostenzuschüssen würden bald verschickt werden. Allerdings suchten die Organisatoren wie auch sonst immer noch nach Firmen und Personen, die die Konferenz sponsern wollten. Bitte wenden Sie sich an sponsors@debconf.org, falls Sie helfen möchten.

Lücke in Debians OpenSSL wirkt sich auf viele andere Pakete aus

Luciano Bello entdeckte, dass der Zufallszahlengenerator in Debians openssl-Paket vorhersagbar ist. Die Ursache dafür ist eine fehlerhafte, Debian-spezifische Änderung im openssl-Paket (CVE-2008-0166). Als Folge davon könnte kryptographisches Schlüsselmaterial erraten werden. Betroffene Schlüssel sind unter anderem SSH-Schlüssel, OpenVPN-Schlüssel, DNSSEC-Schlüssel und Schlüsselmaterial für die Verwendung in X.509-Zertifikaten und Sitzungsschlüsseln, die in SSL/TLS-Verbindungen benutzt werden. Schlüssel, die mit GnuPG oder GNUTLS erstellt wurden, sind allerdings nicht betroffen. Trotzdem können andere Systeme indirekt betroffen sein, falls schwache Schlüssel in diese importiert wurden.

Kurz nach Lucianos Entdeckung wurden korrigierte Pakete erstellt. Wegen der Ernsthaftigkeit des Problems wurde ein neues OpenSSH-Paket freigegeben, das automatisch möglicherweise kompromittierte Schlüssel erneuert und eine schwarze Liste für eventuell betroffene Benutzerschlüssel bereitstellt. Zur gleichen Zeit wurde eine Erkennungs-Software (GPG-Signatur) geschrieben und seitdem ständig weiterentwickelt. Außerdem wurden detaillierte Test- und Aktualisierungsprozeduren für verschiedene Softwarepakete gesammelt.

Wir bitten für jegliche dadurch verursachte Unannehmlichkeiten um Entschuldigung und möchten allen danken, die geholfen haben, diese Angelegenheit so schnell und ohne schwerwiegende Folgen zu lösen.

Eine Diskussion wurde auf verschiedenen Listen begonnen, um solche Unfälle in Zukunft zu vermeiden.

Übergang zu Perl 5.10

Marc Brockschmidt gab die Fertigstellung des kürzlich durchgeführten Übergangs zu Perl 5.10 als Standardversion für die nächste stabile Veröffentlichung bekannt.

Er bemerkte, dass für diesen Übergang mehr als 400 Pakete in Testing aktualisiert worden seien, eingeschlossen der Aktualisierungen für heimdal, clamav und sendmail/libmilter. Die als nächstes angesetzten kleineren Aktualisierungen seien für xulrunner, ocaml, ffmpeg, poppler und nautilus geplant.

Backports.org unbekannt?

Während der Durchsicht alter Fehler, die gegen OpenOffice.org berichtet worden waren, fiel Lior Kaplan auf, dass viele Benutzer backports.org nicht kennen würden. Dies ist ein inoffizieller Dienst, der aktualisierte Pakete für Benutzer von Debians Stable-Version bereitstellt.

In der anschließenden Diskussion wurden diverse Vorschläge zur besseren Integration des Dienstes in Debian gemacht. Gerfried Fuchs fasste den aktuellen Stand zusammen.

Große Pakete in Debian

Mitglieder des Debian-Games-Teams (und andere Betreuer von generischen großen Datenpaketen) fragten nach Größenlimitierungen (und auch der Infrastruktur) des Debian-Archivs bezüglich der Pakete. Jörg Jaspert schaltete sich als ftp-master in die Diskussion ein und fasste die Möglichkeiten zur Lösung des Problems zusammen. Er schlägt vor, ein neues Archiv für große Pakete (die architekturunabhängige Daten enthalten) zu erstellen und nach Möglichkeit die Debian-Richtlinien zu verändern, so dass Pakete, die von solchen Daten abhingen, die nur im neuen Archiv verhanden sind, im Main-Zweig verbleiben könnten.

Status von SANE

Da die Schnittstelle von SANE (scanner access now easy, ein Rahmenwerk für den Zugang zu Scannern) verbessert wird, gab Julien Blache einen Überblick über seine Pläne für die SANE-Pakete für die bevorstehende Veröffentlichung Lenny. SANE wird bei seiner momentanen Schnittstelle bleiben müssen, aber Julien plant die Rückportierung einiger wichtiger Verbesserungen aus dem Entwicklungszweig und bittet um Rückmeldungen.

Hinweise auf neue freie Software-Projekte

Francois Marier gab einige Hinweise zur Auswahl der Lizenz für freie Software-Projekte. Er folgert, dass es genauso schlecht sei, eine Lizenz zu verwenden, die mit den etablierten Lizenzen, wie der GNU General Public License, inkompatibel sei, wie eigene Lizenzen zu schreiben.

Neil Williams fügte einige allgemeinere Hinweise hinzu.

Andere Neuigkeiten

Sven Joachim fragte nach dem Stand der Übersetzungspakete für Enigmail, einem GnuPG-Werkzeug für das E-Mailprogramm Icedove. Alexander Sack antwortete, dass er sie zu den Hauptpaketen hinzufügen werde.

Jörg Jaspert schlug vor, die Kopfzeilen, die verschiedene von Debian benutzte Programme zu E-Mails hinzufügten, zu vereinheitlichen.

Enrico Zini erstellte eine kleine Anleitung über Bedingte Partitionierung im Debian-Installer für unbeaufsichtigte Installationen unter Beibehaltung einiger Partitionen. Er schrieb bereits ein kleines Howto über das Erstellen bootfähiger USB-Sticks mit simple-cdd.

Da die Datenbank, die von packages.debian.org benutzt wird, nur unterstützte und bevorstehende Veröffentlichungen abdeckt, hat Frank Lichtenheld archive.debian.net erstellt. Die Datenbank macht es möglich, auch archivierte Veröffentlichungen zu durchsuchen. Leider gibt es ein paar Einschränkungen.

Martin Krafft hat damit begonnen, nennenswerte Ergänzungen, Änderungen und andere Verbesserungen in der bevorstehenden stabilen Debian-Veröffentlichung Lenny in einem Wiki zu sammeln. Bitte helfen Sie und tragen Sie zur Seite bei.

Zu bearbeitende Pakete

Momentan sind 433 Pakete verwaist und 104 Pakete stehen zur Adoption bereit. Bitte werfen Sie einen Blick auf die aktuellen Berichte, falls es Pakete gibt, die Sie interessieren.

Wollen Sie die DPN weiterhin lesen? Bitte helfen Sie uns beim Erstellen dieses Newsletters. Wir brauchen weiterhin freiwillige Autoren, die die Debian-Gemeinschaft beobachten und über Ereignisse in der Gemeinschaft berichten. Bitte lesen Sie unsere Wie mache ich mit-Seite, um zu sehen, wie Sie helfen können. Wir freuen uns auf Ihre E-Mail an debian-publicity@lists.debian.org.


Um diesen Newsletter (auf Englisch) vierzehntäglich in Ihrer Mailbox zu erhalten, abonnieren Sie die Mailingliste debian-news.

Hier gibt es ältere Ausgaben dieser Nachrichtenseite.

Diese Ausgabe der Nachrichten für das Debian-Projekt wurde von Luca Bruno, Meike Reichle und Alexander Schmehl erstellt.
Sie wurde von Benedikt Beckmann übersetzt.