I sviluppatori di u prughjettu Fedora anu annunziatu u postponimentu di a liberazione di Fedora 37 à u 15 di nuvembre per a necessità di eliminà una vulnerabilità critica in a biblioteca OpenSSL. Siccomu i dati nantu à l'essenza di a vulnerabilità seranu divulgati solu l'1 di nuvembre è ùn hè micca chjaru quantu tempu ci vole à implementà a prutezzione in a distribuzione, hè statu decisu di posponà a liberazione da 2 settimane. Questa ùn hè micca a prima volta chì a data di liberazione di Fedora 37 era prevista u 18 d'ottobre, ma hè stata posposta duie volte (à u 25 d'ottobre è u 1 di nuvembre) per fallimentu di i criteri di qualità.
Attualmente, 3 prublemi restanu micca risolti in e versioni di teste finali è sò classificati cum'è bluccà a liberazione. In più di a necessità di riparà a vulnerabilità in openssl, u gestore di compostu kwin si ferma quandu principia una sessione di Plasma KDE basata in Wayland quandu u modu hè impostatu à nomodeset (grafica di basa) in UEFI, è l'applicazione gnome-calendar si congela quandu edita ricorrente. avvenimenti.
A vulnerabilità critica in OpenSSL afecta solu a branche 3.0.x; e versioni 1.1.1x ùn sò micca affettate. U ramu OpenSSL 3.0 hè digià utilizatu in distribuzioni cume Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. In SUSE Linux Enterprise 15 SP4 è openSUSE Leap 15.4, i pacchetti cù OpenSSL 3.0 sò dispunibuli opcionalmente, i pacchetti di sistema utilizanu a branche 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 restanu nantu à i rami OpenSSL 3.16.x.
A vulnerabilità hè classificata cum'è critica; i dettagli ùn sò ancu stati furniti, ma in termini di gravità u prublema hè vicinu à a sensazionale vulnerabilità Heartbleed. Un livellu criticu di periculu implica a pussibilità di un attaccu remotu à cunfigurazioni standard. I prublemi chì portanu à fughe remoti di u cuntenutu di a memoria di u servitore, l'esekzione di u codice di l'attaccante, o u cumprumissu di e chjave private di u servitore pò esse classificatu cum'è criticu. Un patch OpenSSL 3.0.7 chì risolve u prublema è infurmazione nantu à a natura di a vulnerabilità serà publicatu l'1 di nuvembre.
Source: opennet.ru