Die Entwickler des Fedora-Projekts haben die Veröffentlichung von Fedora 37 auf den 15. November verschoben, um eine kritische Sicherheitsanfälligkeit in der OpenSSL-Bibliothek zu beheben. Da die Details zur Art der Anfälligkeit erst am 1. November bekanntgegeben werden und unklar ist, wie lange es dauert, den Schutz im Distribution zu implementieren, wurde beschlossen, die Veröffentlichung um zwei Wochen zu verschieben. Dies ist nicht die erste Fristverschiebung – ursprünglich wurde der Release von Fedora 37 für den 18. Oktober erwartet, wurde jedoch zwei Mal verschoben (auf den 25. Oktober und den 1. November) aufgrund von Nichterfüllung der Qualitätskriterien.
Derzeit verbleiben in den finalen Testversionen drei Probleme, die als blockierende Faktoren für die Veröffentlichung angesehen werden. Neben der Notwendigkeit, die Sicherheitsanfälligkeit in OpenSSL zu beheben, wird das Einfrieren des Kompositormanagers KWin beim Start einer KDE Plasma-Sitzung auf Basis von Wayland im Modus 'nomodeset' (Basisgrafik) im UEFI und das Einfrieren der Anwendung gnome-calendar beim Bearbeiten wiederkehrender Ereignisse erwähnt.
Eine kritische Sicherheitsanfälligkeit in OpenSSL betrifft ausschließlich die Version 3.0.x, während die Versionen 1.1.1x nicht betroffen sind. Die OpenSSL 3.0 Version wird bereits in Distributionen wie Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable verwendet. In SUSE Linux Enterprise 15 SP4 und openSUSE Leap 15.4 sind Pakete mit OpenSSL 3.0 optional verfügbar, während die Systempakete die Version 1.1.1 nutzen. Die OpenSSL 1.x Versionen befinden sich weiterhin in Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16.
Die Sicherheitsanfälligkeit wird als kritisch eingestuft; bisher wurden keine Details bekannt gegeben, jedoch ist das Risiko vergleichbar mit der bekannten Sicherheitsanfälligkeit Heartbleed. Die Einstufung als kritisch deutet darauf hin, dass eine entfernte Angreifermontage auf typische Konfigurationen möglich ist. Dazu gehören Probleme, die zu entfernten Speicherinhalten führen können, Server, zur Ausführung von Angreifer-Code oder zur Kompromittierung privater Server-Schlüssel. Ein Patch für OpenSSL 3.0.7, der das Problem behebt, und Informationen über die Natur der Sicherheitsanfälligkeit werden am 1. November veröffentlicht.
Quelle: opennet.ru
