Razvijalci projekta Fedora so zaradi potrebe po odpravi kritične ranljivosti v knjižnici OpenSSL napovedali preložitev izdaje Fedore 37 na 15. november. Ker bo narava ranljivosti razkrita šele 1. novembra in ni jasno, koliko časa bo trajalo, da se zaščita v distribuciji uvede, je bila izdaja prestavljena za dva tedna. To ni prvič, da je bila izdaja prestavljena – Fedora 37 je bila prvotno načrtovana za 18. oktober, vendar je bila zaradi neizpolnjevanja meril kakovosti dvakrat prestavljena (na 25. oktober in 1. november).
Trenutno v končnih testnih različicah ostajajo neodpravljene tri težave, ki so opredeljene kot težave, ki blokirajo izdajo. Poleg potrebe po odpravljanju ranljivosti openssl obstajajo poročila o zamrznitvi upravitelja sestavljanja kwin pri zagonu seje KDE Plasma v Waylandu z načinom nomodeset (osnovna grafika) v UEFI in o zamrznitvi aplikacije gnome-calendar pri urejanju ponavljajočih se dogodkov.
Критическая уязвимость в OpenSSL затрагивает только ветку 3.0.x, выпуски 1.1.1x уязвимости не подвержены. Ветка OpenSSL 3.0 уже используется в таких дистрибутивах, как Ubuntu 22.04, CentOS Tok 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. В SUSE Linux Enterprise 15 SP4 и openSUSE Leap 15.4 пакеты с OpenSSL 3.0 доступны опционально, системные пакеты используют ветку 1.1.1. На ветках OpenSSL 1.x остаются Debian 11, lok Linux, Prazno Linux, Ubuntu 20.04. april, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16.
Уязвимость отнесена к категории критических, подробности пока не сообщаются, но по уровню опасности проблема близка к нашумевшей уязвимости Heartbleed. Критический уровень опасности подразумевает возможность совершения удалённой атаки на типовые конфигурации. К критическим могут быть отнесены проблемы приводящие к удалённым утечкам содержимого памяти strežnika, выполнению кода атакующего или компрометации серверных закрытых ключей. Исправление OpenSSL 3.0.7 с устранением проблемы и информация о сути уязвимости будет опубликована 1 ноября.
Vir: opennet.ru
