Cyhoeddodd datblygwyr prosiect Fedora ohirio rhyddhau Fedora 37 i Dachwedd 15 oherwydd yr angen i ddileu bregusrwydd critigol yn llyfrgell OpenSSL. Gan y bydd data am hanfod y bregusrwydd yn cael ei ddatgelu ar Dachwedd 1 yn unig ac nid yw'n glir pa mor hir y bydd yn ei gymryd i weithredu amddiffyniad yn y dosbarthiad, penderfynwyd gohirio'r datganiad am 2 wythnos. Nid dyma'r tro cyntaf i'r dyddiad rhyddhau ar gyfer Fedora 37 gael ei ddisgwyl ar Hydref 18, ond fe'i gohiriwyd ddwywaith (hyd at Hydref 25 a Thachwedd 1) oherwydd methiant i fodloni meini prawf ansawdd.
Ar hyn o bryd, mae 3 mater yn parhau heb eu pennu yn yr adeiladau prawf terfynol ac maent wedi'u dosbarthu fel rhai sy'n rhwystro'r rhyddhau. Yn ogystal Γ’'r angen i drwsio'r bregusrwydd yn openssl, mae'r rheolwr cyfansawdd kwin yn hongian wrth gychwyn sesiwn Plasma KDE yn Wayland pan fydd y modd wedi'i osod i nomodeset (graffeg sylfaenol) yn UEFI, ac mae'r rhaglen gnome-calendr yn rhewi wrth olygu'n rheolaidd digwyddiadau.
Mae'r bregusrwydd critigol yn OpenSSL yn effeithio ar y gangen 3.0.x yn unig; ni effeithir ar ddatganiadau 1.1.1x. Mae cangen OpenSSL 3.0 eisoes yn cael ei ddefnyddio mewn dosbarthiadau o'r fath fel Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, ββββProfi Debian / Ansefydlog. Yn SUSE Linux Enterprise 15 SP4 ac openSUSE Leap 15.4, mae pecynnau gydag OpenSSL 3.0 ar gael yn ddewisol, mae pecynnau system yn defnyddio'r gangen 1.1.1. Mae Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 yn aros ar ganghennau OpenSSL 3.16.x.
Maeβr bregusrwydd yn cael ei ddosbarthu fel critigol; nid oes manylion wediβu darparu eto, ond o ran difrifoldeb maeβr broblem yn agos at fregusrwydd syfrdanol Heartbleed. Mae lefel hanfodol o berygl yn awgrymu'r posibilrwydd o ymosodiad o bell ar ffurfweddiadau safonol. Gellir dosbarthu problemau sy'n arwain at ollyngiadau o bell o gynnwys cof gweinydd, gweithredu cod ymosodwr, neu gyfaddawdu allweddi preifat y gweinydd fel rhai hollbwysig. Bydd darn OpenSSL 3.0.7 sy'n trwsio'r broblem a gwybodaeth am natur y bregusrwydd yn cael eu cyhoeddi ar Dachwedd 1.
Ffynhonnell: opennet.ru