Fedora 37 се забави с две седмици поради критична уязвимост в OpenSSL

Разработчиците на проекта Fedora обявиха отлагането на пускането на Fedora 37 до 15 ноември поради необходимостта от премахване на критична уязвимост в библиотеката OpenSSL. Тъй като данните за същността на уязвимостта ще бъдат разкрити едва на 1 ноември и не е ясно колко време ще отнеме внедряването на защита в дистрибуцията, беше решено освобождаването да се отложи с 2 седмици. Това не е първият път, когато датата на пускане на Fedora 37 се очакваше на 18 октомври, но беше отложена два пъти (за 25 октомври и 1 ноември) поради неспазване на критериите за качество.

В момента 3 проблема остават нерешени в окончателните тестови компилации и са класифицирани като блокиращи изданието. В допълнение към необходимостта от коригиране на уязвимостта в openssl, композитният мениджър на kwin виси при стартиране на базирана на Wayland сесия на KDE Plasma, когато режимът е настроен на nomodeset (основна графика) в UEFI, а приложението gnome-calendar замръзва при редактиране на повтарящи се събития.

Критичната уязвимост в OpenSSL засяга само клона 3.0.x; версиите 1.1.1x не са засегнати. Клонът OpenSSL 3.0 вече се използва в дистрибуции като Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, ​​​​Debian Testing/Unstable. В SUSE Linux Enterprise 15 SP4 и openSUSE Leap 15.4 пакетите с OpenSSL 3.0 са налични по избор, системните пакети използват клона 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 остават в клоновете на OpenSSL 3.16.x.

Уязвимостта е класифицирана като критична; подробности все още не са предоставени, но по отношение на сериозността проблемът е близо до сензационната уязвимост на Heartbleed. Критичното ниво на опасност предполага възможност за отдалечена атака на стандартни конфигурации. Проблеми, водещи до отдалечено изтичане на съдържание на паметта на сървъра, изпълнение на код на атакуващ или компрометиране на частни ключове на сървъра, могат да бъдат класифицирани като критични. Пач за OpenSSL 3.0.7, коригиращ проблема и информация за естеството на уязвимостта, ще бъде публикуван на 1 ноември.

Източник: opennet.ru