Os desenvolvedores do projeto Fedora anunciaram o adiamento do lançamento do Fedora 37 para 15 de novembro devido à necessidade de eliminar uma vulnerabilidade crítica na biblioteca OpenSSL. Como os dados sobre a essência da vulnerabilidade serão divulgados apenas no dia 1º de novembro e não está claro quanto tempo levará para implementar a proteção na distribuição, foi decidido adiar o lançamento por 2 semanas. Esta não é a primeira vez que a data de lançamento do Fedora 37 era esperada para 18 de outubro, mas foi adiada duas vezes (para 25 de outubro e 1º de novembro) devido ao não cumprimento dos critérios de qualidade.
Atualmente, 3 problemas permanecem sem correção nas compilações de teste finais e são classificados como bloqueando o lançamento. Além da necessidade de corrigir a vulnerabilidade no openssl, o gerenciador de composição kwin trava ao iniciar uma sessão KDE Plasma baseada em Wayland quando o modo está definido como nomodeset (gráficos básicos) em UEFI, e o aplicativo gnome-calendar congela durante a edição recorrente eventos.
A vulnerabilidade crítica no OpenSSL afeta apenas o branch 3.0.x; as versões 1.1.1x não são afetadas. O branch OpenSSL 3.0 já é usado em distribuições como Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. No SUSE Linux Enterprise 15 SP4 e no openSUSE Leap 15.4, os pacotes com OpenSSL 3.0 estão disponíveis opcionalmente, os pacotes do sistema usam a ramificação 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 permanecem nas ramificações OpenSSL 3.16.x.
A vulnerabilidade é classificada como crítica; detalhes ainda não foram fornecidos, mas em termos de gravidade o problema está próximo da sensacional vulnerabilidade Heartbleed. Um nível crítico de perigo implica a possibilidade de um ataque remoto às configurações padrão. Problemas que levam a vazamentos remotos do conteúdo da memória do servidor, execução de código invasor ou comprometimento de chaves privadas do servidor podem ser classificados como críticos. Um patch OpenSSL 3.0.7 corrigindo o problema e informações sobre a natureza da vulnerabilidade serão publicados em 1º de novembro.
Fonte: opennet.ru