Fedora proiektuaren garatzaileek Fedora 37ren argitalpena azaroaren 15era atzeratu dutela iragarri dute, OpenSSL liburutegian dagoen ahultasun kritiko bat konpondu beharrean. Ahultasunaren izaera azaroaren 1ean bakarrik ezagutaraziko denez eta babesa banaketan ezartzeko zenbat denbora beharko den argi ez dagoenez, argitalpena bi aste atzeratu da. Ez da lehen aldia argitalpena atzeratzen dena: Fedora 37 hasiera batean urriaren 18rako aurreikusita zegoen, baina bi aldiz atzeratu da (urriaren 25era eta azaroaren 1era) kalitate irizpideak ez betetzeagatik.
Gaur egun, hiru arazo konpondu gabe daude azken proba-eraikuntzetan, argitalpen-blokeo gisa sailkatuta. OpenSSL ahultasuna konpontzeko beharraz gain, kwin konposizio-kudeatzailea blokeatzen dela jakinarazi da KDE Plasma saio bat Wayland-en abiaraztean UEFI-n nomodeset (oinarrizko grafikoak) modua ezarrita duela, eta gnome-calendar aplikazioa blokeatzen dela gertaera errepikakorrak editatzean.
OpenSSL-ren ahultasun kritikoak 3.0.x adarrean bakarrik eragiten du; 1.1.1x bertsioak ez dira ahulak. OpenSSL 3.0 adarra dagoeneko erabiltzen da honelako banaketetan: Ubuntu 22.04, CentOS 9. erreka, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Probatzen/Ezegonkorra. SUSE-n Linux Enterprise 15 SP4 eta openSUSE Leap 15.4 paketeak OpenSSL 3.0rekin eskuragarri daude aukeran, sistema paketeek 1.1.1 adarra erabiltzen dute. OpenSSL 1.x adarrak mantentzen dira Debian 11, Arku LinuxHutsune Linux, Ubuntu Apirilak 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16.
Ahultasuna kritiko gisa sailkatuta dago; xehetasunak ez daude oraindik eskuragarri, baina bere larritasun maila Heartbleed ahultasun ospetsuaren antzekoa da. Larritasun maila kritiko batek konfigurazio tipikoetan urruneko erasoak egiteko aukera dakar. Arazo kritikoek urruneko memoria-ihesak eragiten dituzten arazoak ere izan ditzakete. zerbitzaria, erasotzailearen kodea exekutatuz edo zerbitzariaren gako pribatuak arriskuan jarriz. Arazoa konpontzeko OpenSSL 3.0.7 bertsiorako adabaki bat eta ahultasunari buruzko informazioa azaroaren 1ean argitaratuko dira.
Iturria: opennet.ru
