Os desenvolvedores do proxecto Fedora anunciaron o aprazamento do lanzamento de Fedora 37 para o 15 de novembro debido á necesidade de eliminar unha vulnerabilidade crítica na biblioteca OpenSSL. Dado que os datos sobre a esencia da vulnerabilidade serán revelados só o 1 de novembro e non está claro canto tempo tardará en implementar a protección na distribución, decidiuse aprazar o lanzamento 2 semanas. Esta non é a primeira vez que se esperaba a data de lanzamento de Fedora 37 o 18 de outubro, pero aprazouse dúas veces (ata o 25 de outubro e o 1 de novembro) por non cumprir os criterios de calidade.
Actualmente, 3 problemas seguen sen solucionarse nas compilacións finais de proba e están clasificados como bloqueadores da versión. Ademais da necesidade de corrixir a vulnerabilidade en openssl, o xestor composto de kwin colócase ao iniciar unha sesión de KDE Plasma baseada en Wayland cando o modo está configurado como nomodeset (gráficos básicos) en UEFI e a aplicación gnome-calendar conxélase ao editar recorrente. eventos.
A vulnerabilidade crítica en OpenSSL afecta só á rama 3.0.x; as versións 1.1.1x non se ven afectadas. A rama OpenSSL 3.0 xa se usa en distribucións como Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. En SUSE Linux Enterprise 15 SP4 e openSUSE Leap 15.4, os paquetes con OpenSSL 3.0 están dispoñibles opcionalmente, os paquetes do sistema usan a rama 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 permanecen nas ramas de OpenSSL 3.16.x.
A vulnerabilidade está clasificada como crítica; aínda non se proporcionaron detalles, pero en termos de gravidade o problema está preto da sensacional vulnerabilidade de Heartbleed. Un nivel crítico de perigo implica a posibilidade dun ataque remoto a configuracións estándar. Os problemas que provocan fugas remotas do contido da memoria do servidor, a execución de código do atacante ou o compromiso das claves privadas do servidor poden clasificarse como críticos. O 3.0.7 de novembro publicarase un parche de OpenSSL 1 que soluciona o problema e información sobre a natureza da vulnerabilidade.
Fonte: opennet.ru