Fedora projekta izstrādātāji paziņoja par Fedora 37 izlaišanas atlikšanu uz 15. novembri, jo ir jānovērš kritiska OpenSSL bibliotēkas ievainojamība. Tā kā ievainojamības būtība tiks atklāta tikai 1. novembrī un nav skaidrs, cik ilgs laiks būs nepieciešams aizsardzības ieviešanai izplatījumā, izlaišana ir atlikta par divām nedēļām. Šī nav pirmā reize, kad izlaišana ir atlikta – Fedora 37 sākotnēji bija paredzēta 18. oktobrī, bet tā tika divreiz pārcelta (uz 25. oktobri un 1. novembri) kvalitātes kritēriju neatbilstības dēļ.
Pašlaik pēdējās testa versijās joprojām nav novērstas trīs problēmas, kas klasificētas kā izlaišanas bloķēšana. Papildus nepieciešamībai novērst openssl ievainojamību, ir ziņojumi par kwin kompozīcijas pārvaldnieka sasalšanu, palaižot KDE Plasma sesiju Wayland vidē ar UEFI iestatītu nomodeset (pamata grafikas) režīmu, un gnome-calendar lietojumprogrammas sasalšanu, rediģējot atkārtotus notikumus.
Критическая уязвимость в OpenSSL затрагивает только ветку 3.0.x, выпуски 1.1.1x уязвимости не подвержены. Ветка OpenSSL 3.0 уже используется в таких дистрибутивах, как Ubuntu 22.04, CentOS 9. straume, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. В SUSE Linux Enterprise 15 SP4 и openSUSE Leap 15.4 пакеты с OpenSSL 3.0 доступны опционально, системные пакеты используют ветку 1.1.1. На ветках OpenSSL 1.x остаются Debian 11. aprīlis, Arka Linux, Nederīgs Linux, Ubuntu 20.04. aprīlis, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16.
Šī ievainojamība ir klasificēta kā kritiska; sīkāka informācija pagaidām nav pieejama, taču tās nopietnības līmenis ir līdzīgs bēdīgi slavenajai Heartbleed ievainojamībai. Kritisks nopietnības līmenis nozīmē attālinātu uzbrukumu iespējamību tipiskām konfigurācijām. Kritiskas problēmas var ietvert arī problēmas, kas izraisa attālas atmiņas noplūdes. serveris, uzbrucēja koda izpildi vai servera privāto atslēgu kompromitēšanu. OpenSSL 3.0.7 ielāps, kas novērš šo problēmu, un informācija par ievainojamību tiks publicēta 1. novembrī.
Avots: opennet.ru
