Debians projektnyheder - 26. maj 2008

Velkommen til årets tredje udgave af DPN, Debian-fællesskabets nyhedsbrev. Steve McIntyre sendte en ny Lidt fra DPL'en-mail. Et alvorligt problem i Debians OpenSSL-pakke er for nylig blevet rettet. Debian diskuterer en arkivstruktur til enorme pakker.

Lidt fra Debians projektleder

Steve McIntyre udsendte en ny udgave af sin Lidt fra DPL'en (Bits from the DPL) hvori han rapporterede om sine seneste aktiviteter som projektleder. Han begyndte med at henvise til flere interview han gav for nylig, og fortsatte med at fortælle om bemandingsændringer i kerneholdene. Jonathan McDowell er blevet nøgleringsvedligeholder, og samarbejder allerede med James Troup om lettere integration af nøgleringsvedligeholdelse og vores ldap-system, til bedre samarbejde med Debians systemadministratorer. Han takker Anthony Towns, der har forladt de fleste hold, han var med i.

Sidst, men ikke mindst, fortæller han om den kommende Debian-konference i Mar del Plata, Argentina. Organiseringsarbejdet går ganske godt, med annonceringer om manuskripter, valg af foredrag og rejsesponorater, som snart vil blive udsendt. Men som altid er organisatorerne stadig på udkig efter virksomheder og enkeltpersoner, der kan sponsere konferencen – skriv på engelsk til sponsors@debconf.org hvis du kan hjælpe.

OpenSSL-svaghed i Debian påvirker mange andre pakker

Luciano Bello opdagede at tilfældigt tal-generatoren i Debians openssl-pakke var forudsigelig. Dette skyldtes en ukorrekt Debian-specifik ændring af openssl-pakken (CVE-2008-0166). Som følge deraf kan kryptografisk materiale være gætbart. Påvirkede nøgler er blandt andre SSH-nøgler, OpenVPN-nøgler, DNSSEC-nøgler og nøglemateriale der anvendes i X.509-certifikater og sessionsnøgler der anvendes i SSL-/TLS-forbindelser. Nøgler genereret med GnuPG eller GNUTLS er dog ikke påvirkede. Andre systemer kan dog indirekte være påvirkede, hvis svage nøgler har været importeret ind i dem.

Kort efter Lucianos opdagelse blev der fremstillet rettede pakker og – på grund af problemets alvor – blev der desuden frigivet en ny OpenSSH-pakke, der automatisk regenererer muligvis komprimitterede nøgler og som indeholder en sortliste over muligvis påvirkede brugernøgler. På samme tid blev et detekteringsprogram (GPG-signatur) udviklet, og er siden løbende blevet forbedret. Detaljerede test- og opgraderingsprocedurer til forskellige programpakker er blevet opsamlet.

Vi beklager ulejligheden forårsaget af dette problem, og ønsker at takke alle der har hjulpet til med at løse problemet så hurtigt og uden større konsekvenser.

Diskussioner om hvordan sådanne uheld forhindres fremover, er allerede begyndt på forskellige lister.

Overgang til Perl 5.10

Marc Brockschmidt annoncerede færdiggørelsen af den nyligt afviklede overgang til Perl 5.10 som standardversion i den kommende stabile udgave.

Han bemærkede at der i forbindelse med denne overgang, blev opdateret flere end 400 pakker i testing-distributionen, deriblandt opdateringer af heimdal, clamav og sendmail/libmilter. De næste planlagte, mindre opdateringer gælder xulrunner, ocaml, ffmpeg, poppler og nautilus.

Backports.org ukendt?

Under sine undersøgelser af ældre fejlrapporter mod OpenOffice.org, bemærkede Lior Kaplan, at mange brugere ikke kender backports.org, en uofficiel service der indeholder opdaterede pakker til brugere af den stabile udgave af Debian.

I den efterfølgende debat, fremkom der flere forslag til bedre integration af denne service med Debian. Gerfried Fuchs opsummerede den aktuelle situation.

Enorme pakker i Debian

Medlemmer af Debian Games-holdet (og andre vedligeholdere af generisk store datapakker) spekulerede om størrelsesbegrænsninger i Debian-arkivet (og dets infrastruktur) hvad angår pakker. Jörg Jaspert deltog i diskussionen som ftp-master, og opsummerede muligheder for at løse problemerne. Han støtter oprettelse af et nyt arkiv til store pakker (indeholdende arkitekturuafhængige data) og, hvis muligt, en ændring af Debians policy, så pakker der er afhængige af sådanne data, der kun er tilgængelige i det nye arkiv, kan blive i main.

SANEs status

Da SANE (Scanner Access Now Easy, et framework til at tilgå scannere) arbejder på at forbedre sin grænseflade, gav Julien Blache et indblik i sine planer for SANE-pakkerne i den kommende udgave, lenny. SANE skal beholde sin nuværende grænseflade, men Julien planlægger at tilbageføre nogle vigtige forbedringer fra udviklingsgrenen, og beder om tilbagemeldinger.

Råd til nye fri software-projekter

Francois Marier gav nogle råd om hvordan man følger licens til fri software-projekter. Han konkluderer at anvendelse af en licens, der ikke er kompatibel med gængse licenser som GNU General Public License, er en lige så dårlig idé som at skrive sin egen licens.

Neil Williams tilføjede nogle mere generelle råd.

Øvrige nyheder

Sven Joachim spekulerede over tilstanden af oversættelsespakkerne til enigmail, et GnuPG-værktøj til mailklienten Icedove. Alexander Sack svarede, at han vil tilføje dem til hovedpakken.

Jörg Jaspert foreslog at standardisere headere der tilføjes til e-mail af forskellige værktøjer, der anvendes af Debian.

Enrico Zini lavede en lille vejledning i Conditional partitioning in debian installer (betinget partitionering i Debian Installer) til uovervågede installeringer, hvor nogle partitioner skal bevares. Han har allerede skrevet en lille vejledning i at fremstille startbare USB-nøgler med simple-cdd.

Da databasen, der anvendes af packages.debian.org kun omfatter understøttede og kommende udgaver, har Frank Lichtenheld oprettet archive.debian.net, hvor man også kan gennemsøge arkiverede udgivelser. Desværre er der nogle begrænsninger.

Martin Krafft er begyndt at indsample nævneværdige tilføjelser, ændringer og andre forbedringer i den kommende stabile Debian-udgave, lenny, på wikien. Hjælp til og kom med bidrag til siden.

Pakker der har brug for arbejde

I øjeblikket er der 433 forældre løse pakker og 104 pakker der kan adopteres. Tag et kig på nylige rapporter, hvis der er pakker, du er interesseret i.

Ønsker du fortsat at læse DPN? Hjælp os med at skrive dette nhedsbrev. Vi har stadig brug for frivillige skribenter, med overblik over hvad der sker i Debian-fællesskabet og som rapportere om aktiviterne. Se vores side om hvordan man deltager, HOWTO contribute, for at få oplysninger om hvad det kræver. Vi ser frem til at høre fra dig - på engelsk - på debian-publicity@lists.debian.org.


For at modtage dette nyhedsbrev som mail, kan man abonnere på postlisten debian-news.

Tidligere udgaver af nyhedsbrevet er tilgængelige.

Denne udgave af Debians projektnyheder blev redigeret af Luca Bruno, Meike Reichle og Alexander Schmehl.