Fedora նախագծի մշակողները հայտարարեցին Fedora 37-ի թողարկումը նոյեմբերի 15-ին հետաձգելու մասին՝ OpenSSL գրադարանում կրիտիկական խոցելիությունը վերացնելու անհրաժեշտության պատճառով: Քանի որ խոցելիության էության մասին տվյալները կհրապարակվեն միայն նոյեմբերի 1-ին, և պարզ չէ, թե որքան ժամանակ կպահանջվի բաշխման մեջ պաշտպանություն իրականացնելու համար, որոշվեց թողարկումը հետաձգել 2 շաբաթով։ Սա առաջին դեպքը չէ, երբ Fedora 37-ի թողարկման ամսաթիվը սպասվում էր հոկտեմբերի 18-ին, սակայն այն երկու անգամ հետաձգվեց (մինչև հոկտեմբերի 25-ը և նոյեմբերի 1-ը) որակի չափանիշներին չհամապատասխանելու պատճառով:
Ներկայումս 3 խնդիր մնում է չշտկված վերջնական թեստային կառուցվածքներում և դասակարգվում են որպես թողարկումն արգելափակող: Բացի openssl-ում խոցելիությունը շտկելու անհրաժեշտությունից, kwin կոմպոզիտային կառավարիչը կախված է Wayland-ի վրա հիմնված KDE Plasma նիստը սկսելիս, երբ ռեժիմը դրված է nomodeset (հիմնական գրաֆիկա) UEFI-ում, և gnome-calendar հավելվածը սառչում է կրկնվող խմբագրման ժամանակ: իրադարձություններ.
OpenSSL-ի կրիտիկական խոցելիությունն ազդում է միայն 3.0.x մասնաճյուղի վրա, 1.1.1x թողարկումները չեն ազդում: OpenSSL 3.0 մասնաճյուղն արդեն օգտագործվում է այնպիսի բաշխումների մեջ, ինչպիսիք են Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable: SUSE Linux Enterprise 15 SP4-ում և openSUSE Leap 15.4-ում OpenSSL 3.0-ով փաթեթները հասանելի են ընտրովի, համակարգի փաթեթներն օգտագործում են 1.1.1 ճյուղը: Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8-ը մնում են OpenSSL 3.16.x մասնաճյուղերում:
Խոցելիությունը դասակարգվում է որպես կրիտիկական, մանրամասները դեռ չեն տրամադրվել, բայց ծանրության առումով խնդիրը մոտ է սենսացիոն Heartbleed խոցելիությանը: Վտանգի կրիտիկական մակարդակը ենթադրում է ստանդարտ կոնֆիգուրացիաների վրա հեռավոր հարձակման հնարավորություն: Սերվերի հիշողության բովանդակության հեռավոր արտահոսքի, հարձակվողի կոդի կատարման կամ սերվերի մասնավոր բանալիների խախտման հետ կապված խնդիրները կարող են դասակարգվել որպես կրիտիկական: Խնդիրը շտկող OpenSSL 3.0.7 կարկատելը և խոցելիության բնույթի մասին տեղեկատվությունը կհրապարակվի նոյեմբերի 1-ին:
Source: opennet.ru