Udviklerne af Fedora-projektet annoncerede udsættelsen af udgivelsen af Fedora 37 til 15. november på grund af behovet for at eliminere en kritisk sårbarhed i OpenSSL-biblioteket. Da data om essensen af sårbarheden først vil blive offentliggjort den 1. november, og det er uklart, hvor lang tid det vil tage at implementere beskyttelse i distributionen, blev det besluttet at udskyde frigivelsen med 2 uger. Dette er ikke første gang, udgivelsesdatoen for Fedora 37 forventedes den 18. oktober, men blev udskudt to gange (til 25. oktober og 1. november) på grund af manglende opfyldelse af kvalitetskriterierne.
I øjeblikket forbliver 3 problemer uløste i de sidste testbuilds og er klassificeret som blokerende for udgivelsen. Ud over behovet for at rette sårbarheden i openssl, hænger kwin composite-manageren, når en Wayland-baseret KDE Plasma-session startes, når tilstanden er indstillet til nomodeset (grundlæggende grafik) i UEFI, og gnome-kalender-applikationen fryser, når der redigeres tilbagevendende begivenheder.
Den kritiske sårbarhed i OpenSSL påvirker kun 3.0.x-grenen; 1.1.1x-udgivelser er ikke sårbare. OpenSSL 3.0-grenen bruges allerede i distributioner som f.eks. Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36 Debian Test/Ustabil. I SUSE Linux Enterprise 15 SP4 og openSUSE Leap 15.4-pakkerne med OpenSSL 3.0 er tilgængelige som ekstraudstyr, systempakkerne bruger 1.1.1-grenen. OpenSSL 1.x-grenene forbliver Debian 11, Buen Linux, Ugyldig Linux, Ubuntu 20.04. april, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16.
Sårbarheden er klassificeret som kritisk; detaljerne er endnu ikke tilgængelige, men dens alvorlighedsgrad ligner den berygtede Heartbleed-sårbarhed. En kritisk alvorlighedsgrad indebærer muligheden for fjernangreb på typiske konfigurationer. Kritiske problemer kan også omfatte problemer, der fører til fjernhukommelseslækager. server, udføre angriberkode eller kompromittere serverens private nøgler. En programrettelse til OpenSSL 3.0.7, der retter problemet og indeholder oplysninger om sårbarheden, vil blive offentliggjort den 1. november.
Kilde: opennet.ru
