Debians projektnyheder - 26. maj 2008
Velkommen til årets tredje udgave af DPN, Debian-fællesskabets nyhedsbrev.
Steve McIntyre sendte en ny Lidt fra DPL'en
-mail. Et alvorligt problem
i Debians OpenSSL-pakke er for nylig blevet rettet. Debian diskuterer en
arkivstruktur til enorme pakker.
Lidt fra Debians projektleder
Steve McIntyre udsendte en ny udgave af sin
Lidt fra DPL'en
(Bits from the DPL
) hvori han rapporterede om
sine seneste aktiviteter som projektleder. Han begyndte med at henvise til
flere
interview
han
gav
for nylig, og
fortsatte med at fortælle om bemandingsændringer i kerneholdene. Jonathan
McDowell er blevet nøgleringsvedligeholder, og samarbejder allerede med James
Troup om lettere integration af nøgleringsvedligeholdelse og vores ldap-system,
til bedre samarbejde med Debians systemadministratorer. Han takker Anthony
Towns, der har forladt de fleste hold, han var med i.
Sidst, men ikke mindst, fortæller han om den kommende Debian-konference i Mar del Plata, Argentina. Organiseringsarbejdet går ganske godt, med annonceringer om manuskripter, valg af foredrag og rejsesponorater, som snart vil blive udsendt. Men som altid er organisatorerne stadig på udkig efter virksomheder og enkeltpersoner, der kan sponsere konferencen – skriv på engelsk til sponsors@debconf.org hvis du kan hjælpe.
OpenSSL-svaghed i Debian påvirker mange andre pakker
Luciano Bello opdagede at tilfældigt tal-generatoren i Debians openssl-pakke var forudsigelig. Dette skyldtes en ukorrekt Debian-specifik ændring af openssl-pakken (CVE-2008-0166). Som følge deraf kan kryptografisk materiale være gætbart. Påvirkede nøgler er blandt andre SSH-nøgler, OpenVPN-nøgler, DNSSEC-nøgler og nøglemateriale der anvendes i X.509-certifikater og sessionsnøgler der anvendes i SSL-/TLS-forbindelser. Nøgler genereret med GnuPG eller GNUTLS er dog ikke påvirkede. Andre systemer kan dog indirekte være påvirkede, hvis svage nøgler har været importeret ind i dem.
Kort efter Lucianos opdagelse blev der fremstillet rettede pakker og – på grund af problemets alvor – blev der desuden frigivet en ny OpenSSH-pakke, der automatisk regenererer muligvis komprimitterede nøgler og som indeholder en sortliste over muligvis påvirkede brugernøgler. På samme tid blev et detekteringsprogram (GPG-signatur) udviklet, og er siden løbende blevet forbedret. Detaljerede test- og opgraderingsprocedurer til forskellige programpakker er blevet opsamlet.
Vi beklager ulejligheden forårsaget af dette problem, og ønsker at takke alle der har hjulpet til med at løse problemet så hurtigt og uden større konsekvenser.
Diskussioner om hvordan sådanne uheld forhindres fremover, er allerede begyndt på forskellige lister.
Overgang til Perl 5.10
Marc Brockschmidt annoncerede færdiggørelsen af den nyligt afviklede overgang til Perl 5.10 som standardversion i den kommende stabile udgave.
Han bemærkede at der i forbindelse med denne overgang, blev opdateret flere end 400 pakker i testing-distributionen, deriblandt opdateringer af heimdal, clamav og sendmail/libmilter. De næste planlagte, mindre opdateringer gælder xulrunner, ocaml, ffmpeg, poppler og nautilus.
Backports.org ukendt?
Under sine undersøgelser af ældre fejlrapporter mod OpenOffice.org, bemærkede Lior Kaplan, at mange brugere ikke kender backports.org, en uofficiel service der indeholder opdaterede pakker til brugere af den stabile udgave af Debian.
I den efterfølgende debat, fremkom der flere forslag til bedre integration af denne service med Debian. Gerfried Fuchs opsummerede den aktuelle situation.
Enorme pakker i Debian
Medlemmer af Debian Games-holdet (og andre vedligeholdere af generisk store datapakker) spekulerede om størrelsesbegrænsninger i Debian-arkivet (og dets infrastruktur) hvad angår pakker. Jörg Jaspert deltog i diskussionen som ftp-master, og opsummerede muligheder for at løse problemerne. Han støtter oprettelse af et nyt arkiv til store pakker (indeholdende arkitekturuafhængige data) og, hvis muligt, en ændring af Debians policy, så pakker der er afhængige af sådanne data, der kun er tilgængelige i det nye arkiv, kan blive i main.
SANEs status
Da SANE (Scanner Access Now Easy, et framework til at tilgå scannere)
arbejder på at forbedre sin grænseflade, gav Julien Blache et
indblik i sine
planer for SANE-pakkerne i den kommende udgave, lenny
. SANE skal
beholde sin nuværende grænseflade, men Julien planlægger at tilbageføre
nogle vigtige forbedringer fra udviklingsgrenen, og beder om
tilbagemeldinger.
Råd til nye fri software-projekter
Francois Marier gav nogle råd om hvordan man følger licens til fri software-projekter. Han konkluderer at anvendelse af en licens, der ikke er kompatibel med gængse licenser som GNU General Public License, er en lige så dårlig idé som at skrive sin egen licens.
Neil Williams tilføjede nogle mere generelle råd.
Øvrige nyheder
Sven Joachim spekulerede over tilstanden af oversættelsespakkerne til enigmail, et GnuPG-værktøj til mailklienten Icedove. Alexander Sack svarede, at han vil tilføje dem til hovedpakken.
Jörg Jaspert foreslog at standardisere headere der tilføjes til e-mail af forskellige værktøjer, der anvendes af Debian.
Enrico Zini lavede en lille vejledning i Conditional partitioning in debian
installer
(betinget partitionering i Debian Installer) til uovervågede
installeringer, hvor nogle partitioner skal bevares. Han har allerede
skrevet en
lille vejledning i at fremstille startbare USB-nøgler med simple-cdd.
Da databasen, der anvendes af packages.debian.org kun omfatter understøttede og kommende udgaver, har Frank Lichtenheld oprettet archive.debian.net, hvor man også kan gennemsøge arkiverede udgivelser. Desværre er der nogle begrænsninger.
Martin Krafft er
begyndt
at indsample nævneværdige tilføjelser, ændringer og andre forbedringer i
den kommende stabile Debian-udgave, lenny
, på
wikien. Hjælp til og kom med
bidrag til siden.
Pakker der har brug for arbejde
I øjeblikket er der 433 forældre løse pakker og 104 pakker der kan adopteres. Tag et kig på nylige rapporter, hvis der er pakker, du er interesseret i.
Ønsker du fortsat at læse DPN? Hjælp os med at skrive dette
nhedsbrev. Vi har stadig brug for frivillige skribenter, med overblik over hvad
der sker i Debian-fællesskabet og som rapportere om aktiviterne. Se vores side
om hvordan man deltager, HOWTO contribute
, for at få oplysninger om hvad det kræver. Vi ser
frem til at høre fra dig - på engelsk - på
debian-publicity@lists.debian.org.
For at modtage dette nyhedsbrev som mail, kan man abonnere på postlisten debian-news.
Tidligere udgaver af nyhedsbrevet er tilgængelige.
Denne udgave af Debians projektnyheder blev redigeret af Luca Bruno, Meike Reichle og Alexander Schmehl.