Les développeurs du projet Fedora ont annoncé le report de la sortie de Fedora 37 au 15 novembre en raison de la nécessité d'éliminer une vulnérabilité critique dans la bibliothèque OpenSSL. Étant donné que les données sur l'essence de la vulnérabilité ne seront divulguées que le 1er novembre et qu'on ne sait pas combien de temps il faudra pour mettre en œuvre la protection dans la distribution, il a été décidé de reporter la publication de 2 semaines. Ce n'est pas la première fois que la sortie de Fedora 37 était attendue le 18 octobre, mais a été reportée à deux reprises (au 25 octobre et au 1er novembre) faute de répondre aux critères de qualité.
Actuellement, 3 problèmes restent non résolus dans les versions de test finales et sont classés comme bloquant la version. En plus de la nécessité de corriger la vulnérabilité dans openssl, le gestionnaire composite kwin se bloque lors du démarrage d'une session KDE Plasma basée sur Wayland lorsque le mode est défini sur nomodeset (graphiques de base) dans UEFI, et l'application gnome-calendar se bloque lors de l'édition récurrente. événements.
La vulnérabilité critique d'OpenSSL affecte uniquement la branche 3.0.x ; les versions 1.1.1x ne sont pas affectées. La branche OpenSSL 3.0 est déjà utilisée dans des distributions telles que Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Dans SUSE Linux Enterprise 15 SP4 et openSUSE Leap 15.4, les packages avec OpenSSL 3.0 sont disponibles en option, les packages système utilisent la branche 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 restent sur les branches OpenSSL 3.16.x.
La vulnérabilité est classée comme critique ; les détails n'ont pas encore été fournis, mais en termes de gravité, le problème est proche de la vulnérabilité sensationnelle Heartbleed. Un niveau de danger critique implique la possibilité d'une attaque à distance sur les configurations standards. Les problèmes entraînant des fuites à distance du contenu de la mémoire du serveur, l'exécution de code malveillant ou la compromission des clés privées du serveur peuvent être classés comme critiques. Un correctif OpenSSL 3.0.7 corrigeant le problème et des informations sur la nature de la vulnérabilité seront publiés le 1er novembre.
Source: opennet.ru