أعلن مطورو مشروع Fedora عن تأجيل إصدار Fedora 37 إلى 15 نوفمبر بسبب الحاجة إلى إزالة ثغرة أمنية حرجة في مكتبة OpenSSL. نظرًا لأنه سيتم الكشف عن البيانات المتعلقة بجوهر الثغرة الأمنية في الأول من نوفمبر فقط، وليس من الواضح كم من الوقت سيستغرق تنفيذ الحماية في التوزيع، فقد تقرر تأجيل الإصدار لمدة أسبوعين. ليست هذه هي المرة الأولى التي يُتوقع فيها إصدار Fedora 1 في 2 أكتوبر، ولكن تم تأجيله مرتين (إلى 37 أكتوبر و18 نوفمبر) بسبب عدم استيفاء معايير الجودة.
في الوقت الحالي، لا تزال هناك 3 مشكلات لم يتم حلها في الإصدارات التجريبية النهائية وتم تصنيفها على أنها تمنع الإصدار. بالإضافة إلى الحاجة إلى إصلاح الثغرة الأمنية في opensl، يتوقف مدير kwin المركب عند بدء جلسة KDE Plasma المستندة إلى Wayland عندما يتم ضبط الوضع على مجموعة الترميز (الرسومات الأساسية) في UEFI، ويتجمد تطبيق تقويم جنوم عند التحرير المتكرر الأحداث.
تؤثر الثغرة الأمنية الخطيرة في OpenSSL على الفرع 3.0.x فقط، ولا تتأثر إصدارات 1.1.1x. يتم استخدام فرع OpenSSL 3.0 بالفعل في توزيعات مثل Ubuntu 22.04 وCentOS Stream 9 وRHEL 9 وOpenMandriva 4.2 وGentoo وFedora 36 وDebian Testing/Unstable. في SUSE Linux Enterprise 15 SP4 وopenSUSE Leap 15.4، تتوفر الحزم المزودة بـ OpenSSL 3.0 بشكل اختياري، وتستخدم حزم النظام الفرع 1.1.1. Debian 1، وArch Linux، وVoid Linux، وUbuntu 11، وSlackware، وALT Linux، وRHEL 20.04، وOpenWrt، وAlpine Linux 8 تظل موجودة في فروع OpenSSL 3.16.x.
تم تصنيف الثغرة على أنها حرجة، ولم يتم تقديم التفاصيل بعد، ولكن من حيث الخطورة فإن المشكلة قريبة من ثغرة Heartbleed المثيرة. يشير المستوى الحرج من الخطر إلى إمكانية شن هجوم عن بعد على التكوينات القياسية. يمكن تصنيف المشكلات التي تؤدي إلى تسرب محتويات ذاكرة الخادم عن بعد، أو تنفيذ تعليمات برمجية للمهاجم، أو اختراق مفاتيح الخادم الخاصة على أنها حرجة. سيتم نشر تصحيح OpenSSL 3.0.7 الذي يعمل على إصلاح المشكلة والمعلومات حول طبيعة الثغرة الأمنية في الأول من نوفمبر.
المصدر: opennet.ru