Utviklerne av Fedora-prosjektet kunngjorde utsettelse av utgivelsen av Fedora 37 til 15. november på grunn av behovet for å eliminere en kritisk sårbarhet i OpenSSL-biblioteket. Siden data om essensen av sårbarheten vil bli offentliggjort først 1. november og det er uklart hvor lang tid det vil ta å implementere beskyttelse i distribusjonen, ble det besluttet å utsette utgivelsen med 2 uker. Dette er ikke første gang utgivelsesdatoen for Fedora 37 ble forventet 18. oktober, men ble utsatt to ganger (til 25. oktober og 1. november) på grunn av manglende oppfyllelse av kvalitetskriterier.
For øyeblikket forblir 3 problemer uløste i de siste testbyggene og er klassifisert som blokkering av utgivelsen. I tillegg til behovet for å fikse sårbarheten i openssl, henger kwin composite manager når du starter en Wayland-basert KDE Plasma-sesjon når modusen er satt til nomodeset (grunnleggende grafikk) i UEFI, og gnome-kalender-applikasjonen fryser ved gjentakende redigering arrangementer.
Den kritiske sårbarheten i OpenSSL påvirker bare 3.0.x-grenen; 1.1.1x-utgivelser påvirkes ikke. OpenSSL 3.0-grenen brukes allerede i slike distribusjoner som Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. I SUSE Linux Enterprise 15 SP4 og openSUSE Leap 15.4 er pakker med OpenSSL 3.0 tilgjengelige valgfritt, systempakker bruker 1.1.1-grenen. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 forblir på OpenSSL 3.16.x-grenene.
Sårbarheten er klassifisert som kritisk; detaljer er ennå ikke gitt, men når det gjelder alvorlighetsgrad er problemet nær den oppsiktsvekkende Heartbleed-sårbarheten. Et kritisk farenivå innebærer muligheten for et eksternt angrep på standardkonfigurasjoner. Problemer som fører til eksterne lekkasjer av serverminneinnhold, kjøring av angriperkode eller kompromittering av serverens private nøkler kan klassifiseres som kritiske. En OpenSSL 3.0.7-oppdatering som fikser problemet og informasjon om sårbarhetens natur vil bli publisert 1. november.
Kilde: opennet.ru