Fedora projekti arendajad teatasid Fedora 37 väljalaske edasilükkamisest 15. novembrile, kuna on vaja kõrvaldada OpenSSL-i teegi kriitiline haavatavus. Kuna andmed haavatavuse olemuse kohta avalikustatakse alles 1. novembril ja pole selge, kui kaua võtab aega kaitse juurutamine distributsioonis, otsustati avaldamine 2 nädala võrra edasi lükata. See pole esimene kord, kui Fedora 37 väljalaskekuupäeva oodati 18. oktoobril, kuid see lükati kaks korda edasi (25. oktoobrini ja 1. novembrini), kuna see ei vastanud kvaliteedikriteeriumidele.
Praegu on viimastes testjärkudes lahendamata kolm probleemi ja need liigitatakse väljalaske blokeerimiseks. Lisaks vajadusele parandada openssl-i haavatavus, hangub kwini komposiithaldur Waylandi-põhise KDE Plasma seansi käivitamisel, kui režiimiks on UEFI-s seatud nomodeset (põhigraafika) ja gnome-kalendri rakendus hangub korduva redigeerimise ajal. sündmused.
OpenSSL-i kriitiline haavatavus mõjutab ainult 3.0.x haru; 1.1.1x väljalaske see ei mõjuta. OpenSSL 3.0 haru on juba kasutusel sellistes distributsioonides nagu Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. SUSE Linux Enterprise 15 SP4 ja openSUSE Leap 15.4 puhul on OpenSSL 3.0 paketid saadaval valikuliselt, süsteemipaketid kasutavad haru 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 jäävad OpenSSL 3.16.x harudesse.
Haavatavus on klassifitseeritud kriitiliseks; üksikasju pole veel esitatud, kuid tõsiduse poolest on probleem lähedal sensatsioonilisele Heartbleedi haavatavusele. Kriitiline ohutase tähendab kaugrünnaku võimalust standardkonfiguratsioonidele. Probleemid, mis põhjustavad serveri mälu sisu kauglekkeid, ründaja koodi käivitamist või serveri privaatvõtmete ohtu, võib liigitada kriitilisteks. Probleemi parandav OpenSSL 3.0.7 plaaster ja teave haavatavuse olemuse kohta avaldatakse 1. novembril.
Allikas: opennet.ru