Vývojáři projektu Fedora oznámili odložení vydání Fedory 37 na 15. listopadu kvůli nutnosti odstranit kritickou zranitelnost v knihovně OpenSSL. Vzhledem k tomu, že data o podstatě zranitelnosti budou zveřejněna až 1. listopadu a není jasné, jak dlouho bude implementace ochrany v distribuci trvat, bylo rozhodnuto odložit vydání o 2 týdny. Není to poprvé, kdy se datum vydání Fedory 37 očekávalo 18. října, ale bylo dvakrát odloženo (na 25. října a 1. listopadu) kvůli nesplnění kritérií kvality.
V současné době zůstávají 3 problémy neopravené v konečných testovacích sestaveních a jsou klasifikovány jako blokující vydání. Kromě nutnosti opravit zranitelnost v openssl se kompozitní manažer kwin zasekne při zahájení relace KDE Plasma založené na Wayland, když je režim nastaven na nomodeset (základní grafika) v UEFI, a aplikace gnome-calendar zamrzne při opakovaných úpravách. Události.
Kritická zranitelnost v OpenSSL se týká pouze větve 3.0.x; vydání 1.1.1x nejsou ovlivněna. Větev OpenSSL 3.0 se již používá v distribucích jako Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Ustable. V SUSE Linux Enterprise 15 SP4 a openSUSE Leap 15.4 jsou balíčky s OpenSSL 3.0 dostupné volitelně, systémové balíčky využívají větev 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 zůstávají na větvích OpenSSL 3.16.x.
Chyba zabezpečení je klasifikována jako kritická, podrobnosti zatím nebyly poskytnuty, ale pokud jde o závažnost, problém se blíží senzační zranitelnosti Heartbleed. Kritická úroveň nebezpečí znamená možnost vzdáleného útoku na standardní konfigurace. Problémy vedoucí ke vzdáleným únikům obsahu paměti serveru, spuštění kódu útočníka nebo kompromitaci privátních klíčů serveru lze klasifikovat jako kritické. Oprava OpenSSL 3.0.7 opravující problém a informace o povaze zranitelnosti budou zveřejněny 1. listopadu.
Zdroj: opennet.ru