Fedora-projektin kehittäjät ilmoittivat Fedora 37:n julkaisun lykkäämisestä 15. marraskuuta OpenSSL-kirjaston kriittisen haavoittuvuuden korjaamistarpeen vuoksi. Koska haavoittuvuuden luonne paljastetaan vasta 1. marraskuuta eikä ole selvää, kuinka kauan suojauksen toteuttaminen jakelussa kestää, julkaisua on lykätty kahdella viikolla. Tämä ei ole ensimmäinen kerta, kun julkaisua on lykätty – Fedora 37:n oli alun perin määrä julkaista 18. lokakuuta, mutta sitä lykättiin kahdesti (25. lokakuuta ja 1. marraskuuta) laatukriteerien täyttymättä jäämisen vuoksi.
Tällä hetkellä lopullisissa testiversioissa on korjaamatta kolme ongelmaa, jotka luokitellaan julkaisun estäviksi. Openssl-haavoittuvuuden korjaamistarpeen lisäksi on raportoitu kwin-kompositointityökalun jumiutumista käynnistettäessä KDE Plasma -istuntoa Waylandilla, kun UEFI:ssa on asetettu nomodeset (perusgrafiikka) -tila, ja gnome-calendar-sovelluksen jumiutumista toistuvia tapahtumia muokattaessa.
OpenSSL:n kriittinen haavoittuvuus vaikuttaa vain 3.0.x-haaraan; 1.1.1x-julkaisut eivät ole haavoittuvia. OpenSSL 3.0 -haaraa käytetään jo jakeluissa, kuten Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36 Debian Testaus/Epävakaa. SUSE-ympäristössä Linux Enterprise 15 SP4- ja openSUSE Leap 15.4 -paketit OpenSSL 3.0:lla ovat saatavilla valinnaisesti, järjestelmäpaketit käyttävät 1.1.1-haaraa. OpenSSL 1.x -haarat pysyvät ennallaan. Debian 11, kaari LinuxMitätön Linux, Ubuntu 20.04. huhtikuuta, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16.
Haavoittuvuus on luokiteltu kriittiseksi; yksityiskohtia ei ole vielä saatavilla, mutta sen vakavuusaste on samanlainen kuin pahamaineisen Heartbleed-haavoittuvuuden. Kriittinen vakavuusaste viittaa mahdollisuuteen, että tyypillisiin kokoonpanoihin kohdistuu etähyökkäyksiä. Kriittisiin ongelmiin voivat sisältyä myös ongelmat, jotka johtavat etämuistivuotoihin. palvelin, hyökkääjäkoodin suorittamista tai palvelimen yksityisten avainten vaarantamista. OpenSSL 3.0.7:n korjaustiedosto, joka korjaa ongelman ja sisältää tietoa haavoittuvuudesta, julkaistaan 1. marraskuuta.
Lähde: opennet.ru
