Die Entwickler des Fedora-Projekts kündigten die Verschiebung der Veröffentlichung von Fedora 37 auf den 15. November an, da eine kritische Schwachstelle in der OpenSSL-Bibliothek beseitigt werden muss. Da Daten zum Wesen der Schwachstelle erst am 1. November bekannt gegeben werden und unklar ist, wie lange es dauern wird, bis der Schutz in der Distribution implementiert ist, wurde beschlossen, die Veröffentlichung um zwei Wochen zu verschieben. Dies ist nicht das erste Mal, dass der Veröffentlichungstermin für Fedora 2 am 37. Oktober erwartet wurde, sondern zweimal verschoben wurde (auf den 18. Oktober und den 25. November), da die Qualitätskriterien nicht erfüllt wurden.
Derzeit sind drei Probleme in den endgültigen Test-Builds noch nicht behoben und werden als die Veröffentlichung blockierend eingestuft. Zusätzlich zur Notwendigkeit, die Schwachstelle in OpenSSL zu beheben, bleibt der kwin-Composite-Manager hängen, wenn eine Wayland-basierte KDE-Plasma-Sitzung gestartet wird, wenn der Modus in UEFI auf Nomodeset (Basisgrafiken) eingestellt ist, und die Gnome-Kalender-Anwendung friert ein, wenn wiederkehrende Bearbeitungen vorgenommen werden Veranstaltungen.
Die kritische Sicherheitslücke in OpenSSL betrifft nur den 3.0.x-Zweig; 1.1.1x-Versionen sind nicht betroffen. Der OpenSSL 3.0-Zweig wird bereits in Distributionen wie Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36 und Debian Testing/Unstable verwendet. In SUSE Linux Enterprise 15 SP4 und openSUSE Leap 15.4 sind Pakete mit OpenSSL 3.0 optional verfügbar, Systempakete nutzen den 1.1.1-Zweig. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 bleiben auf den OpenSSL 3.16.x-Zweigen.
Die Schwachstelle wird als kritisch eingestuft; Details hierzu wurden noch nicht genannt, vom Schweregrad her liegt das Problem aber nahe an der aufsehenerregenden Heartbleed-Schwachstelle. Ein kritischer Gefahrengrad impliziert die Möglichkeit eines Fernangriffs auf Standardkonfigurationen. Probleme, die zu Remote-Lecks von Serverspeicherinhalten, zur Ausführung von Angreifercode oder zur Kompromittierung privater Serverschlüssel führen, können als kritisch eingestuft werden. Am 3.0.7. November werden ein OpenSSL 1-Patch zur Behebung des Problems und Informationen zur Art der Sicherheitslücke veröffentlicht.
Source: opennet.ru