De ontwikkelaars van het Fedora-project kondigden het uitstel aan van de release van Fedora 37 naar 15 november vanwege de noodzaak om een kritieke kwetsbaarheid in de OpenSSL-bibliotheek te elimineren. Omdat gegevens over de essentie van de kwetsbaarheid pas op 1 november bekend worden gemaakt en het onduidelijk is hoe lang het zal duren om de beveiliging in de distributie te implementeren, is besloten de release met 2 weken uit te stellen. Dit is niet de eerste keer dat de releasedatum voor Fedora 37 op 18 oktober werd verwacht, maar tweemaal werd uitgesteld (naar 25 oktober en 1 november) omdat niet aan de kwaliteitscriteria werd voldaan.
Momenteel zijn er nog drie problemen die niet zijn opgelost in de laatste testbuilds en die de release blokkeren. Naast de noodzaak om de kwetsbaarheid in openssl op te lossen, blijft de samengestelde manager van kwin hangen bij het starten van een op Wayland gebaseerde KDE Plasma-sessie wanneer de modus is ingesteld op nomodeset (basisafbeeldingen) in UEFI, en loopt de gnome-calendar-applicatie vast bij het bewerken van terugkerende evenementen.
De kritieke kwetsbaarheid in OpenSSL treft alleen de 3.0.x-tak; 1.1.1x-releases worden niet getroffen. De OpenSSL 3.0-tak wordt al gebruikt in distributies als Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. In SUSE Linux Enterprise 15 SP4 en openSUSE Leap 15.4 zijn pakketten met OpenSSL 3.0 optioneel beschikbaar, systeempakketten gebruiken de vertakking 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 blijven op de OpenSSL 3.16.x-takken.
De kwetsbaarheid is geclassificeerd als kritiek; details zijn nog niet verstrekt, maar qua ernst ligt het probleem dicht bij de sensationele Heartbleed-kwetsbaarheid. Een kritiek niveau van gevaar impliceert de mogelijkheid van een aanval op afstand op standaardconfiguraties. Problemen die leiden tot lekken op afstand van de inhoud van het servergeheugen, de uitvoering van code van een aanvaller of het compromitteren van de privésleutels van de server kunnen als kritiek worden aangemerkt. Een OpenSSL 3.0.7-patch die het probleem oplost en informatie over de aard van de kwetsbaarheid zullen op 1 november worden gepubliceerd.
Bron: opennet.ru