Programeri Fedora projekta najavili su odlaganje izdavanja Fedore 37 za 15. novembar zbog potrebe da se eliminiše kritična ranjivost u OpenSSL biblioteci. Budući da će podaci o suštini ranjivosti biti objavljeni tek 1. novembra i nejasno je koliko će vremena biti potrebno za implementaciju zaštite u distribuciji, odlučeno je da se objavljivanje odgodi za 2 sedmice. Ovo nije prvi put da se datum objavljivanja za Fedora 37 očekivao 18. oktobra, ali je dva puta odgođen (na 25. oktobar i 1. novembar) zbog neispunjavanja kriterijuma kvaliteta.
Trenutno, 3 problema ostaju neriješena u konačnim testnim verzijama i klasificirani su kao blokirajući izdanje. Pored potrebe da se popravi ranjivost u openssl-u, kompozitni menadžer kwin-a visi prilikom pokretanja sesije KDE Plasma zasnovane na Waylandu kada je režim postavljen na nomodeset (osnovna grafika) u UEFI-ju, a gnome-calendar aplikacija se zamrzava kada se ponavlja uređivanje. događaji.
Kritična ranjivost u OpenSSL-u utiče samo na granu 3.0.x; 1.1.1x izdanja nisu pogođena. OpenSSL 3.0 grana se već koristi u distribucijama kao što su Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. U SUSE Linux Enterprise 15 SP4 i openSUSE Leap 15.4, paketi sa OpenSSL 3.0 su dostupni opciono, sistemski paketi koriste granu 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 ostaju na OpenSSL 3.16.x granama.
Ranjivost je klasifikovana kao kritična; detalji još nisu dati, ali u smislu ozbiljnosti problem je blizak senzacionalnoj ranjivosti Heartbleed. Kritični nivo opasnosti podrazumijeva mogućnost daljinskog napada na standardne konfiguracije. Problemi koji dovode do udaljenog curenja sadržaja serverske memorije, izvršavanja napadačkog koda ili kompromitovanja privatnih ključeva servera mogu se klasifikovati kao kritični. OpenSSL 3.0.7 zakrpa koja rešava problem i informacije o prirodi ranjivosti biće objavljena 1. novembra.
izvor: opennet.ru