Распрацоўнікі праекту Fedora абвясцілі аб пераносе рэлізу Fedora 37 на 15 лістапада ў сувязі з неабходнасцю ўхілення крытычнай уразлівасці ў бібліятэцы OpenSSL. Так як дадзеныя аб сутнасці ўразлівасці будуць раскрыты толькі 1 лістапада і незразумела колькі часу спатрэбіцца для рэалізацыі абароны ў дыстрыбутыве вырашана адкласці выпуск на 2 тыдні. Гэта не першы перанос тэрмінаў - першапачаткова рэліз Fedora 37 чакаўся 18 кастрычніка, але два разы быў перанесены (на 25 кастрычніка і 1 лістапада) з-за невыканання крытэрыяў якасці.
Цяпер у фінальных тэставых зборках застаюцца нявыпраўленымі 3 праблемы, якія аднесены да блакіруючых выпуск. Апроч неабходнасці ўхілення ўразлівасці ў openssl, згадваецца завісанне кампазітнага мэнэджара kwin пры запуску сеансу KDE Plasma на базе Wayland пры выстаўленні рэжыму nomodeset (базавая графіка) у UEFI і завісанне прыкладання gnome-calendar пры рэдагаванні паўтаральных падзей.
Крытычная ўразлівасць у OpenSSL закранае толькі галінку 3.0.x, выпускі 1.1.1x уразлівасці не схільныя. Галінка OpenSSL 3.0 ужо выкарыстоўваецца ў такіх дыстрыбутывах, як Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. У SUSE Linux Enterprise 15 SP4 і openSUSE Leap 15.4/3.0 пакеты з OpenSSL 1.1.1 даступныя апцыянальна, сістэмныя пакеты выкарыстоўваюць галінку 1. На галінках OpenSSL 11.x застаюцца Debian 20.04, Arch Linux, Void Linux, Ubuntu 8/3.16, Slackware, ALT Linux, RHEL XNUMX, OpenWrt, Alpine Linux XNUMX.
Уразлівасць аднесена да катэгорыі крытычных, падрабязнасці пакуль не паведамляюцца, але па ўзроўні небяспекі праблема блізкая да нашумелай уразлівасці Heartbleed. Крытычны ўзровень небяспекі мае на ўвазе магчымасць здзяйснення выдаленага нападу на тыпавыя канфігурацыі. Да крытычным могуць быць аднесены праблемы якія прыводзяць да выдаленых уцечак змесціва памяці сервера, выкананню кода атакавалага ці кампраметацыі серверных зачыненых ключоў. Выпраўленне OpenSSL 3.0.7 з ухіленнем праблемы і інфармацыя аб сутнасці ўразлівасці будзе апублікаваная 1 лістапада.
Крыніца: opennet.ru