Fedora projekta izstrādātāji paziņoja par Fedora 37 izlaišanas atlikšanu uz 15. novembri, jo ir nepieciešams novērst OpenSSL bibliotēkas kritisko ievainojamību. Tā kā dati par ievainojamības būtību tiks atklāti tikai 1.novembrī un nav skaidrs, cik ilgs laiks būs nepieciešams, lai izplatīšanā ieviestu aizsardzību, tika nolemts atlikt izlaišanu par 2 nedēļām. Šī nav pirmā reize, kad Fedora 37 izlaišanas datums tika gaidīts 18. oktobrī, taču tas tika divreiz pārcelts (uz 25. oktobri un 1. novembri), jo netika izpildīti kvalitātes kritēriji.
Pašlaik 3 problēmas nav novērstas pēdējās testa versijās un tiek klasificētas kā laidiena bloķēšanas problēmas. Papildus tam, ka ir jānovērš openssl ievainojamība, kwin saliktā pārvaldnieka darbība uzkaras, startējot uz Wayland balstītu KDE Plasma sesiju, kad režīms ir iestatīts uz nomodeset (pamata grafikas) UEFI, un gnome-kalendāra lietojumprogramma sasalst, rediģējot periodiski. notikumiem.
OpenSSL kritiskā ievainojamība ietekmē tikai 3.0.x atzaru; 1.1.1x izlaidumi netiek ietekmēti. OpenSSL 3.0 filiāle jau tiek izmantota tādos izplatījumos kā Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. SUSE Linux Enterprise 15 SP4 un openSUSE Leap 15.4 pakotnes ar OpenSSL 3.0 ir pieejamas pēc izvēles, sistēmas pakotnes izmanto 1.1.1 atzaru. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 paliek OpenSSL 3.16.x filiālēs.
Ievainojamība ir klasificēta kā kritiska; sīkāka informācija vēl nav sniegta, taču nopietnības ziņā problēma ir tuvu sensacionālajai Heartbleed ievainojamībai. Kritisks bīstamības līmenis nozīmē attāla uzbrukuma iespēju standarta konfigurācijām. Problēmas, kas izraisa servera atmiņas satura attālinātu noplūdi, uzbrucēja koda izpildi vai servera privāto atslēgu kompromitēšanu, var tikt klasificētas kā kritiskas. 3.0.7. novembrī tiks publicēts OpenSSL 1 ielāps, kas novērš problēmu, un informācija par ievainojamības būtību.
Avots: opennet.ru