Los desarrolladores del proyecto Fedora anunciaron el aplazamiento del lanzamiento de Fedora 37 hasta el 15 de noviembre debido a la necesidad de eliminar una vulnerabilidad crítica en la biblioteca OpenSSL. Dado que los datos sobre la esencia de la vulnerabilidad no se divulgarán hasta el 1 de noviembre y no está claro cuánto tiempo llevará implementar la protección en la distribución, se decidió posponer el lanzamiento 2 semanas. Esta no es la primera vez que se esperaba que la fecha de lanzamiento de Fedora 37 fuera el 18 de octubre, pero se pospuso dos veces (al 25 de octubre y al 1 de noviembre) por no cumplir con los criterios de calidad.
Actualmente, quedan 3 problemas sin solucionar en las versiones de prueba finales y están clasificados como bloqueantes del lanzamiento. Además de la necesidad de corregir la vulnerabilidad en openssl, el administrador compuesto de kwin se bloquea al iniciar una sesión de KDE Plasma basada en Wayland cuando el modo está configurado en nomodeset (gráficos básicos) en UEFI, y la aplicación gnome-calendar se congela al realizar ediciones recurrentes. eventos.
La vulnerabilidad crítica en OpenSSL afecta sólo a la rama 3.0.x; las versiones 1.1.1x no se ven afectadas. La rama OpenSSL 3.0 ya se utiliza en distribuciones como Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. En SUSE Linux Enterprise 15 SP4 y openSUSE Leap 15.4, los paquetes con OpenSSL 3.0 están disponibles opcionalmente, los paquetes del sistema utilizan la rama 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 permanecen en las ramas OpenSSL 3.16.x.
La vulnerabilidad está clasificada como crítica; aún no se han proporcionado detalles, pero en términos de gravedad el problema se acerca a la sensacional vulnerabilidad Heartbleed. Un nivel crítico de peligro implica la posibilidad de un ataque remoto a configuraciones estándar. Los problemas que provocan fugas remotas del contenido de la memoria del servidor, la ejecución de código de atacante o el compromiso de las claves privadas del servidor pueden clasificarse como críticos. El 3.0.7 de noviembre se publicará un parche OpenSSL 1 que soluciona el problema e información sobre la naturaleza de la vulnerabilidad.
Fuente: opennet.ru