Fedora プロジェクトの開発者は、OpenSSL ライブラリの重大な脆弱性を排除する必要があるため、Fedora 37 のリリースを 15 月 1 日に延期すると発表しました。 脆弱性の本質に関するデータは2月37日にしか公開されず、ディストリビューションでの保護の実装にどれくらいの時間がかかるか不透明であるため、公開を18週間延期することを決定した。 Fedora 25 のリリースが 1 月 XNUMX 日に予定されていたが、品質基準を満たしていないために XNUMX 回 (XNUMX 月 XNUMX 日と XNUMX 月 XNUMX 日) 延期されたのはこれが初めてではありません。
現在、最終テスト ビルドでは 3 つの問題が未修正のままであり、リリースをブロックしているものとして分類されています。 openssl の脆弱性を修正する必要があることに加えて、モードが UEFI で nomodeset (基本グラフィックス) に設定されている場合に Wayland ベースの KDE Plasma セッションを開始すると、kwin コンポジット マネージャーがハングし、定期的な編集中に gnome-calendar アプリケーションがフリーズします。イベント。
OpenSSL の重大な脆弱性は 3.0.x ブランチにのみ影響し、1.1.1x リリースは影響を受けません。 OpenSSL 3.0 ブランチは、Ubuntu 22.04、CentOS Stream 9、RHEL 9、OpenMandriva 4.2、Gentoo、Fedora 36、Debian Testing/Unstable などのディストリビューションですでに使用されています。 SUSE Linux Enterprise 15 SP4 および openSUSE Leap 15.4 では、OpenSSL 3.0 を含むパッケージがオプションで利用可能であり、システム パッケージは 1.1.1 ブランチを使用します。 Debian 1、Arch Linux、Void Linux、Ubuntu 11、Slackware、ALT Linux、RHEL 20.04、OpenWrt、Alpine Linux 8 は OpenSSL 3.16.x ブランチに残ります。
この脆弱性は重大として分類されており、詳細はまだ提供されていませんが、重大度の点で問題はセンセーショナルな Heartbleed 脆弱性に近いものです。 クリティカルレベルの危険は、標準構成に対するリモート攻撃の可能性を意味します。 サーバーのメモリ内容のリモート漏洩、攻撃者のコードの実行、またはサーバーの秘密キーの侵害につながる問題は、重大なものとして分類できます。 この問題を修正する OpenSSL 3.0.7 パッチと脆弱性の性質に関する情報は 1 月 XNUMX 日に公開される予定です。
出所: オープンネット.ru