Vývojáři projektu Fedora oznámili odložení vydání Fedory 37 na 15. listopadu z důvodu potřeby opravit kritickou zranitelnost v knihovně OpenSSL. Vzhledem k tomu, že povaha zranitelnosti bude odhalena až 1. listopadu a není jasné, jak dlouho bude trvat implementace ochrany v distribuci, bylo vydání odloženo o dva týdny. Není to poprvé, co bylo vydání odloženo – Fedora 37 byla původně naplánována na 18. října, ale byla dvakrát odložena (na 25. října a 1. listopadu) kvůli nesplnění kritérií kvality.
V současné době zůstávají v finálních testovacích verzích neopravené tři problémy, které jsou klasifikovány jako blokující vydání. Kromě nutnosti opravit zranitelnost openssl existují zprávy o zamrznutí správce kompozice kwin při spuštění relace KDE Plasma na Waylandu s nastaveným režimem nomodeset (základní grafika) v UEFI a o zamrznutí aplikace gnome-calendar při úpravě opakujících se událostí.
Kritická zranitelnost v OpenSSL se týká pouze větve 3.0.x; verze 1.1.1x zranitelné nejsou. Větev OpenSSL 3.0 se již používá v distribucích jako například Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testování/Nestabilní. V SUSE Linux Balíčky Enterprise 15 SP4 a openSUSE Leap 15.4 s OpenSSL 3.0 jsou k dispozici volitelně, systémové balíčky používají větev 1.1.1. Větve OpenSSL 1.x zůstávají. Debian 11, Oblouk Linux, Prázdno Linux, Ubuntu 20.04. dubna, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16.
Zranitelnost je klasifikována jako kritická; podrobnosti zatím nejsou k dispozici, ale její úroveň závažnosti je podobná nechvalně známé zranitelnosti Heartbleed. Kritická úroveň závažnosti implikuje možnost vzdálených útoků na typické konfigurace. Mezi kritické problémy mohou patřit i problémy vedoucí ke vzdáleným únikům paměti. server, spouštění kódu útočníka nebo kompromitování soukromých klíčů serveru. Oprava pro OpenSSL 3.0.7, která problém opraví, a informace o zranitelnosti budou zveřejněny 1. listopadu.
Zdroj: opennet.ru
