Udviklerne af Fedora-projektet annoncerede udsættelsen af udgivelsen af Fedora 37 til 15. november på grund af behovet for at eliminere en kritisk sårbarhed i OpenSSL-biblioteket. Da data om essensen af sårbarheden først vil blive offentliggjort den 1. november, og det er uklart, hvor lang tid det vil tage at implementere beskyttelse i distributionen, blev det besluttet at udskyde frigivelsen med 2 uger. Dette er ikke første gang, udgivelsesdatoen for Fedora 37 forventedes den 18. oktober, men blev udskudt to gange (til 25. oktober og 1. november) på grund af manglende opfyldelse af kvalitetskriterierne.
I øjeblikket forbliver 3 problemer uløste i de sidste testbuilds og er klassificeret som blokerende for udgivelsen. Ud over behovet for at rette sårbarheden i openssl, hænger kwin composite-manageren, når en Wayland-baseret KDE Plasma-session startes, når tilstanden er indstillet til nomodeset (grundlæggende grafik) i UEFI, og gnome-kalender-applikationen fryser, når der redigeres tilbagevendende begivenheder.
Den kritiske sårbarhed i OpenSSL påvirker kun 3.0.x-grenen; 1.1.1x-udgivelser påvirkes ikke. OpenSSL 3.0-grenen bruges allerede i sådanne distributioner som Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. I SUSE Linux Enterprise 15 SP4 og openSUSE Leap 15.4 er pakker med OpenSSL 3.0 tilgængelige valgfrit, systempakker bruger 1.1.1-grenen. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 forbliver på OpenSSL 3.16.x-grenene.
Sårbarheden er klassificeret som kritisk; detaljer er endnu ikke blevet givet, men med hensyn til alvor er problemet tæt på den sensationelle Heartbleed-sårbarhed. Et kritisk fareniveau indebærer muligheden for et fjernangreb på standardkonfigurationer. Problemer, der fører til fjernlækager af serverhukommelsesindhold, udførelse af angriberkode eller kompromittering af serverens private nøgler kan klassificeres som kritiske. En OpenSSL 3.0.7-patch, der løser problemet, og oplysninger om sårbarhedens art vil blive offentliggjort den 1. november.
Kilde: opennet.ru