Vývojári projektu Fedora oznámili odloženie vydania Fedory 37 na 15. novembra kvôli potrebe odstrániť kritickú zraniteľnosť v knižnici OpenSSL. Keďže údaje o podstate zraniteľnosti budú zverejnené až 1. novembra a nie je jasné, ako dlho bude trvať implementácia ochrany do distribúcie, bolo rozhodnuté odložiť vydanie o 2 týždne. Nie je to prvýkrát, čo sa dátum vydania Fedory 37 očakával 18. októbra, ale bol dvakrát odložený (na 25. októbra a 1. novembra) kvôli nesplneniu kritérií kvality.
V súčasnosti zostávajú 3 problémy neopravené v posledných testovacích zostavách a sú klasifikované ako blokujúce vydanie. Okrem potreby opraviť zraniteľnosť v openssl sa kompozitný manažér kwin zablokuje pri spustení relácie KDE Plasma založenej na Waylande, keď je režim nastavený na nomodeset (základná grafika) v UEFI a aplikácia gnome-calendar zamrzne pri opakovaných úpravách diania.
Kritická zraniteľnosť v OpenSSL ovplyvňuje iba vetvu 3.0.x; vydania 1.1.1x nie sú ovplyvnené. Pobočka OpenSSL 3.0 sa už používa v takých distribúciách ako Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Ustable. V SUSE Linux Enterprise 15 SP4 a openSUSE Leap 15.4 sú voliteľne dostupné balíky s OpenSSL 3.0, systémové balíky využívajú vetvu 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 zostávajú na pobočkách OpenSSL 3.16.x.
Zraniteľnosť je klasifikovaná ako kritická; podrobnosti ešte neboli poskytnuté, ale pokiaľ ide o závažnosť, problém je blízko senzačnej zraniteľnosti Heartbleed. Kritická úroveň nebezpečenstva znamená možnosť vzdialeného útoku na štandardné konfigurácie. Problémy vedúce k vzdialeným únikom obsahu pamäte servera, spusteniu kódu útočníka alebo kompromitácii súkromných kľúčov servera možno klasifikovať ako kritické. Oprava OpenSSL 3.0.7 opravujúca problém a informácie o povahe zraniteľnosti budú zverejnené 1. novembra.
Zdroj: opennet.ru