Fedora-projektin kehittäjät ilmoittivat Fedora 37:n julkaisun lykkäämisestä marraskuun 15. päivään, koska OpenSSL-kirjaston kriittinen haavoittuvuus on poistettava. Koska tiedot haavoittuvuuden olemuksesta julkistetaan vasta 1. ja on epäselvää, kuinka kauan suojauksen käyttöönotto jakelussa kestää, päätettiin lykätä julkaisua kahdella viikolla. Tämä ei ole ensimmäinen kerta, kun Fedora 2:n julkaisupäivä oli odotettu 37. lokakuuta, mutta sitä siirrettiin kahdesti (18. lokakuuta ja 25. marraskuuta), koska se ei täyttänyt laatukriteerejä.
Tällä hetkellä 3 ongelmaa on edelleen korjaamatta viimeisissä testiversioissa, ja ne luokitellaan julkaisun estäviksi. Sen lisäksi, että openssl:n haavoittuvuus on korjattava, kwin-yhdistelmähallinta jumiutuu, kun Wayland-pohjainen KDE Plasma -istunto käynnistetään, kun tilaksi on asetettu nomodeset (perusgrafiikka) UEFI:ssä, ja gnome-kalenterisovellus jumiutuu toistuvia muokattaessa. Tapahtumat.
OpenSSL:n kriittinen haavoittuvuus vaikuttaa vain 3.0.x-haaraan; 1.1.1x-julkaisut eivät vaikuta. OpenSSL 3.0 -haara on jo käytössä sellaisissa jakeluissa kuin Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. SUSE Linux Enterprise 15 SP4:ssä ja openSUSE Leap 15.4:ssä OpenSSL 3.0 -paketit ovat saatavana valinnaisesti, järjestelmäpaketit käyttävät 1.1.1-haaraa. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 pysyvät OpenSSL 3.16.x -haaroissa.
Haavoittuvuus on luokiteltu kriittiseksi, yksityiskohtia ei ole vielä kerrottu, mutta vakavuudeltaan ongelma on lähellä sensaatiomaista Heartbleed-haavoittuvuutta. Kriittinen vaarataso merkitsee mahdollisuutta etähyökkäykseen standardikokoonpanoihin. Ongelmat, jotka johtavat palvelimen muistin sisällön etävuotoon, hyökkääjäkoodin suorittamiseen tai palvelimen yksityisten avainten vaarantumiseen, voidaan luokitella kriittisiksi. Ongelman korjaava OpenSSL 3.0.7 -korjaus ja tiedot haavoittuvuuden luonteesta julkaistaan 1. marraskuuta.
Lähde: opennet.ru