Fedora proiektuaren garatzaileek Fedora 37ren kaleratzea azaroaren 15era atzeratu zutela iragarri zuten, OpenSSL liburutegian ahultasun kritiko bat ezabatu beharra dagoelako. Ahultasunaren funtsari buruzko datuak azaroaren 1ean soilik ezagutaraziko direnez eta banaketan babesa ezartzeko zenbat denbora beharko den argi ez dagoenez, kaleratzea 2 astez atzeratzea erabaki zen. Hau ez da Fedora 37-ren kaleratze data urriaren 18an espero zen lehen aldia, baina bi aldiz atzeratu zuten (urriaren 25era eta azaroaren 1era) kalitate-irizpideak ez betetzeagatik.
Une honetan, 3 arazo konpontzeke daude azken probaren eraikuntzan eta oharra blokeatzen dute. Openssl-en ahultasuna konpondu beharraz gain, kwin composite manager zintzilikatzen da Wayland-en oinarritutako KDE Plasma saio bat abiaraztean modua nomodeset (oinarrizko grafikoak) ezarrita dagoenean UEFIn, eta gnome-calendar aplikazioa izoztu egiten da errepikakorra editatzen denean. gertaerak.
OpenSSL-ko ahultasun kritikoak 3.0.x adarrari bakarrik eragiten dio; 1.1.1x bertsioek ez dute eragiten. OpenSSL 3.0 adarra Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, ββββDebian Testing/Unstable bezalako banaketetan erabiltzen da dagoeneko. SUSE Linux Enterprise 15 SP4 eta openSUSE Leap 15.4-n, OpenSSL 3.0 duten paketeak eskuragarri daude aukeran, sistema-paketeek 1.1.1 adarra erabiltzen dute. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 OpenSSL 3.16.x adarretan geratzen dira.
Ahultasuna kritiko gisa sailkatuta dago; oraindik ez dira xehetasunak eman, baina larritasunari dagokionez arazoa Heartbleed ahultasun sentsazionaletik gertu dago. Arrisku-maila kritiko batek konfigurazio estandarretan urruneko eraso bat egiteko aukera dakar. Zerbitzariaren memoriaren edukiaren urruneko ihesak, erasotzaileen kodea exekutatzeko edo zerbitzariaren gako pribatuak arriskuan jartzen dituzten arazoak kritiko gisa sailka daitezke. Arazoa konpontzeko OpenSSL 3.0.7 adabaki bat eta ahultasunaren izaerari buruzko informazioa argitaratuko da azaroaren 1ean.
Iturria: opennet.ru