Die ontwikkelaars van die Fedora-projek het die uitstel van die vrystelling van Fedora 37 tot 15 November aangekondig weens die behoefte om 'n kritieke kwesbaarheid in die OpenSSL-biblioteek uit te skakel. Aangesien data oor die essensie van die kwesbaarheid eers op 1 November bekend gemaak sal word en dit onduidelik is hoe lank dit sal neem om beskerming in die verspreiding te implementeer, is besluit om die vrystelling met 2 weke uit te stel. Dit is nie die eerste keer dat die vrystellingsdatum vir Fedora 37 op 18 Oktober verwag is nie, maar is twee keer uitgestel (na 25 Oktober en 1 November) weens die versuim om aan kwaliteitskriteria te voldoen.
Tans bly 3 kwessies nie reggestel in die finale toetsbou nie en word geklassifiseer as blokkeer die vrystelling. Benewens die behoefte om die kwesbaarheid in openssl reg te stel, hang die kwin-saamgestelde bestuurder wanneer 'n Wayland-gebaseerde KDE Plasma-sessie begin word wanneer die modus op nomodeset (basiese grafika) in UEFI gestel is, en die kabouter-kalendertoepassing vries wanneer dit herhaal word. gebeure.
Die kritieke kwesbaarheid in OpenSSL raak slegs die 3.0.x-tak; 1.1.1x-vrystellings word nie geraak nie. Die OpenSSL 3.0-tak word reeds gebruik in verspreidings soos Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian-toetsing/onstabiel. In SUSE Linux Enterprise 15 SP4 en openSUSE Leap 15.4 is pakkette met OpenSSL 3.0 opsioneel beskikbaar, stelselpakkette gebruik die 1.1.1-tak. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 bly op die OpenSSL 3.16.x-takke.
Die kwesbaarheid word as kritiek geklassifiseer; besonderhede is nog nie verskaf nie, maar in terme van erns is die probleem naby aan die opspraakwekkende Heartbleed-kwesbaarheid. 'n Kritieke vlak van gevaar impliseer die moontlikheid van 'n afgeleë aanval op standaardkonfigurasies. Probleme wat lei tot afgeleë lekkasies van bedienergeheue-inhoud, uitvoering van aanvallerkode, of kompromie van bediener privaat sleutels kan as kritiek geklassifiseer word. 'n OpenSSL 3.0.7-pleister wat die probleem oplos en inligting oor die aard van die kwesbaarheid sal op 1 November gepubliseer word.
Bron: opennet.ru