Hönnuðir Fedora verkefnisins tilkynntu frestun á útgáfu Fedora 37 til 15. nóvember vegna nauðsyn þess að útrýma mikilvægum varnarleysi í OpenSSL bókasafninu. Þar sem gögn um kjarna veikleikans verða birt fyrst 1. nóvember og óljóst er hversu langan tíma það tekur að innleiða vernd í dreifingunni, var ákveðið að fresta útgáfunni um 2 vikur. Þetta er ekki í fyrsta skipti sem búist var við útgáfudegi fyrir Fedora 37 18. október, en var frestað tvisvar (í 25. október og 1. nóvember) vegna þess að gæðaviðmiðin uppfylltu ekki.
Eins og er eru 3 vandamál ólöguð í lokaprófunarsmíðunum og eru flokkuð sem að hindra útgáfuna. Auk þess sem þarf að laga varnarleysið í openssl, þá hangir kwin samsettur stjórnandi þegar byrjað er á Wayland-undirstaða KDE Plasma lotu þegar stillingin er stillt á nomodeset (grunngrafík) í UEFI, og gnome-dagatalsforritið frýs við endurteknar breytingar atburðir.
Mikilvæga varnarleysið í OpenSSL hefur aðeins áhrif á 3.0.x útibúið; 1.1.1x útgáfur verða ekki fyrir áhrifum. OpenSSL 3.0 útibúið er nú þegar notað í slíkum dreifingum eins og Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/unstable. Í SUSE Linux Enterprise 15 SP4 og openSUSE Leap 15.4 eru pakkar með OpenSSL 3.0 fáanlegir valfrjálst, kerfispakkar nota 1.1.1 útibúið. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 eru áfram í OpenSSL 3.16.x útibúunum.
Varnarleysið er flokkað sem mikilvægt; upplýsingar hafa ekki enn verið veittar, en hvað varðar alvarleika er vandamálið nálægt tilkomumiklum Heartbleed varnarleysi. Mikilvægt hættustig felur í sér möguleika á fjarárás á staðlaðar stillingar. Vandamál sem leiða til fjarleka á innihaldi netþjónsminni, framkvæmd árásarkóða eða málamiðlun einkalykla netþjóns geta flokkast sem mikilvæg. OpenSSL 3.0.7 plástur sem lagar vandamálið og upplýsingar um eðli veikleikans verður birt 1. nóvember.
Heimild: opennet.ru