A Fedora projekt fejlesztői bejelentették a Fedora 37 kiadásának elhalasztását november 15-re, mivel az OpenSSL könyvtár kritikus sérülékenységét ki kell küszöbölni. Mivel a sérülékenység lényegére vonatkozó adatokat csak november 1-jén hozzák nyilvánosságra, és nem tudni, mennyi ideig tart a védelem bevezetése a terjesztésben, a kiadás 2 héttel való elhalasztása mellett döntöttek. Nem ez az első alkalom, hogy a Fedora 37 megjelenési dátumát október 18-ra várták, de kétszer is elhalasztották (október 25-re és november 1-re), mert a minőségi kritériumok nem feleltek meg.
Jelenleg 3 probléma maradt kijavítatlanul a végső tesztverziókban, és a kiadás blokkolónak minősül. Amellett, hogy ki kell javítani az openssl biztonsági rését, a kwin kompozit menedzser lefagy Wayland-alapú KDE Plasma munkamenet indításakor, ha a mód nomodesetre (alap grafikus) van beállítva az UEFI-ben, és a gnome-calendar alkalmazás lefagy az ismétlődő szerkesztéskor. eseményeket.
Az OpenSSL kritikus biztonsági rése csak a 3.0.x ágat érinti, az 1.1.1x kiadásokat nem érinti. Az OpenSSL 3.0 ágat már használják olyan disztribúciókban, mint az Ubuntu 22.04, a CentOS Stream 9, az RHEL 9, az OpenMandriva 4.2, a Gentoo, a Fedora 36, a Debian Testing/Unstable. A SUSE Linux Enterprise 15 SP4 és az openSUSE Leap 15.4 rendszerben az OpenSSL 3.0 csomagok opcionálisan elérhetők, a rendszercsomagok pedig az 1.1.1 ágat használják. A Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 továbbra is az OpenSSL 3.16.x ágain marad.
A sérülékenység kritikusnak minősül, részleteket még nem közöltek, de a probléma súlyosságát tekintve közel áll a szenzációs Heartbleed sebezhetőséghez. A veszély kritikus szintje magában foglalja a szabványos konfigurációk elleni távoli támadás lehetőségét. A kiszolgálómemória tartalmának távoli kiszivárgásához, támadókód végrehajtásához vagy a szerver privát kulcsainak kompromittálásához vezető problémák kritikusnak minősíthetők. A problémát kijavító OpenSSL 3.0.7-es javítás és a sebezhetőség természetéről szóló információ november 1-jén jelenik meg.
Forrás: opennet.ru