Twórcy projektu Fedora ogłosili przełożenie wydania Fedory 37 na 15 listopada ze względu na konieczność wyeliminowania krytycznej luki w bibliotece OpenSSL. Ponieważ dane na temat istoty luki zostaną ujawnione dopiero 1 listopada i nie jest jasne, ile czasu zajmie wdrożenie zabezpieczeń w dystrybucji, zdecydowano się przesunąć publikację o 2 tygodnie. To nie pierwszy raz, kiedy data premiery Fedory 37 była oczekiwana na 18 października, ale została dwukrotnie przesunięta (na 25 października i 1 listopada) z powodu niespełnienia kryteriów jakościowych.
Obecnie 3 problemy pozostają nierozwiązane w ostatecznych wersjach testowych i są klasyfikowane jako blokujące wydanie. Oprócz konieczności naprawienia luki w openssl, menedżer złożony kwin zawiesza się podczas uruchamiania sesji KDE Plasma opartej na Wayland, gdy tryb jest ustawiony na nomodeset (podstawowa grafika) w UEFI, a aplikacja gnome-calendar zawiesza się podczas edycji powtarzających się wydarzenia.
Krytyczna luka w OpenSSL dotyczy tylko gałęzi 3.0.x, nie dotyczy to wersji 1.1.1x. Gałąź OpenSSL 3.0 jest już wykorzystywana w takich dystrybucjach jak Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. W SUSE Linux Enterprise 15 SP4 i openSUSE Leap 15.4 pakiety z OpenSSL 3.0 są dostępne opcjonalnie, pakiety systemowe korzystają z gałęzi 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 pozostają w gałęziach OpenSSL 3.16.x.
Luka została sklasyfikowana jako krytyczna; szczegółów nie podano jeszcze, ale pod względem wagi problem jest bliski rewelacyjnej luce Heartbleed. Krytyczny poziom zagrożenia implikuje możliwość zdalnego ataku na standardowe konfiguracje. Problemy prowadzące do zdalnych wycieków zawartości pamięci serwera, wykonania kodu atakującego lub naruszenia bezpieczeństwa kluczy prywatnych serwera można sklasyfikować jako krytyczne. Łatka OpenSSL 3.0.7 naprawiająca problem i informująca o naturze luki zostanie opublikowana 1 listopada.
Źródło: opennet.ru