توسعه دهندگان پروژه فدورا به دلیل نیاز به حذف یک آسیب پذیری حیاتی در کتابخانه OpenSSL، انتشار فدورا 37 را به 15 نوامبر به تعویق انداختند. از آنجایی که دادههای مربوط به ماهیت این آسیبپذیری تنها در تاریخ 1 نوامبر فاش میشود و مشخص نیست که اجرای حفاظت در توزیع چقدر طول میکشد، تصمیم گرفته شد انتشار آن 2 هفته به تعویق بیفتد. این اولین باری نیست که تاریخ انتشار فدورا 37 در 18 اکتبر پیش بینی می شد، اما به دلیل عدم رعایت معیارهای کیفیت، دو بار (به 25 اکتبر و 1 نوامبر) به تعویق افتاد.
در حال حاضر، 3 مشکل در ساختهای آزمایشی نهایی برطرف نشده و بهعنوان مسدودکننده انتشار طبقهبندی میشوند. علاوه بر نیاز به رفع آسیبپذیری در openssl، مدیر کامپوزیت kwin هنگام شروع یک جلسه KDE Plasma مبتنی بر Wayland زمانی که حالت در UEFI روی nomodeset (گرافیک پایه) تنظیم میشود، متوقف میشود و برنامه gnome-calendar هنگام ویرایش مکرر مسدود میشود. مناسبت ها.
آسیب پذیری حیاتی در OpenSSL فقط بر شاخه 3.0.x تأثیر می گذارد؛ نسخه های 1.1.1x تحت تأثیر قرار نمی گیرند. شاخه OpenSSL 3.0 در حال حاضر در توزیع هایی مانند Ubuntu 22.04، CentOS Stream 9، RHEL 9، OpenMandriva 4.2، Gentoo، Fedora 36، Debian Testing/Unstable استفاده می شود. در SUSE Linux Enterprise 15 SP4 و openSUSE Leap 15.4، بسته های دارای OpenSSL 3.0 به صورت اختیاری در دسترس هستند، بسته های سیستمی از شاخه 1.1.1 استفاده می کنند. Debian 1، Arch Linux، Void Linux، Ubuntu 11، Slackware، ALT Linux، RHEL 20.04، OpenWrt، Alpine Linux 8 در شاخه های OpenSSL 3.16.x باقی می مانند.
این آسیبپذیری بهعنوان بحرانی طبقهبندی میشود؛ جزئیات هنوز ارائه نشده است، اما از نظر شدت مشکل به آسیبپذیری هیجانانگیز Heartbleed نزدیک است. سطح بحرانی خطر مستلزم امکان حمله از راه دور به تنظیمات استاندارد است. مشکلاتی که منجر به نشت از راه دور محتویات حافظه سرور، اجرای کد مهاجم یا به خطر انداختن کلیدهای خصوصی سرور می شود را می توان به عنوان بحرانی طبقه بندی کرد. یک وصله OpenSSL 3.0.7 برای رفع مشکل و اطلاعات مربوط به ماهیت آسیب پذیری در تاریخ 1 نوامبر منتشر خواهد شد.
منبع: opennet.ru