Dezvoltatorii proiectului Fedora au anunțat amânarea lansării Fedora 37 pe 15 noiembrie din cauza necesității de a elimina o vulnerabilitate critică din biblioteca OpenSSL. Deoarece datele despre esența vulnerabilității vor fi dezvăluite abia pe 1 noiembrie și nu este clar cât timp va dura implementarea protecției în distribuție, s-a decis amânarea lansării cu 2 săptămâni. Aceasta nu este prima dată când data de lansare a Fedora 37 era așteptată pe 18 octombrie, dar a fost amânată de două ori (până la 25 octombrie și 1 noiembrie) din cauza nerespectării criteriilor de calitate.
În prezent, 3 probleme rămân nerezolvate în versiunile finale de testare și sunt clasificate ca blocând lansarea. Pe lângă necesitatea de a remedia vulnerabilitatea în openssl, managerul kwin compozit se blochează atunci când pornește o sesiune KDE Plasma bazată pe Wayland, când modul este setat la nomodeset (grafică de bază) în UEFI, iar aplicația gnome-calendar se blochează la editarea recurentă. evenimente.
Vulnerabilitatea critică din OpenSSL afectează doar ramura 3.0.x; versiunile 1.1.1x nu sunt vulnerabile. Ramura OpenSSL 3.0 este deja utilizată în distribuții precum Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testare/Instabil. În SUSE Linux Pachetele Enterprise 15 SP4 și openSUSE Leap 15.4 cu OpenSSL 3.0 sunt disponibile opțional, pachetele de sistem utilizează ramura 1.1.1. Ramurile OpenSSL 1.x rămân Debian 11, Arhitectură Linux, Vid Linux, Ubuntu 20.04 aprilie, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16.
Vulnerabilitatea este clasificată ca fiind critică; detaliile nu sunt încă disponibile, dar nivelul său de severitate este similar cu cel al celebrei vulnerabilități Heartbleed. Un nivel de severitate critic implică posibilitatea unor atacuri la distanță asupra configurațiilor tipice. Problemele critice pot include, de asemenea, probleme care duc la scurgeri de memorie la distanță. Server, executând codul atacatorului sau compromițând cheile private ale serverului. Un patch pentru OpenSSL 3.0.7 care remediază problema și informații despre vulnerabilitate vor fi publicate pe 1 noiembrie.
Sursa: opennet.ru
