Zhvilluesit e projektit Fedora njoftuan shtyrjen e lëshimit të Fedora 37 në 15 nëntor për shkak të nevojës për të eliminuar një cenueshmëri kritike në bibliotekën OpenSSL. Meqenëse të dhënat për thelbin e cenueshmërisë do të zbulohen vetëm më 1 nëntor dhe është e paqartë se sa kohë do të duhet për të zbatuar mbrojtjen në shpërndarje, u vendos që të shtyhet lëshimi me 2 javë. Kjo nuk është hera e parë që data e lëshimit për Fedora 37 pritej më 18 tetor, por u shty dy herë (në 25 tetor dhe 1 nëntor) për shkak të mosplotësimit të kritereve të cilësisë.
Aktualisht, 3 çështje mbeten të pazgjidhura në versionet përfundimtare të testit dhe klasifikohen si bllokues të lëshimit. Përveç nevojës për të rregulluar cenueshmërinë në openssl, menaxheri i përbërë kwin varet kur fillon një sesion KDE Plasma të bazuar në Wayland kur modaliteti është vendosur në nomodeset (grafika bazë) në UEFI dhe aplikacioni gnome-calendar ngrin kur redaktimi i përsëritur ngjarjet.
Dobësia kritike në OpenSSL prek vetëm degën 3.0.x; lëshimet 1.1.1x nuk preken. Dega OpenSSL 3.0 përdoret tashmë në shpërndarje të tilla si Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. Në SUSE Linux Enterprise 15 SP4 dhe openSUSE Leap 15.4, paketat me OpenSSL 3.0 janë të disponueshme opsionalisht, paketat e sistemit përdorin degën 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 mbeten në degët OpenSSL 3.16.x.
Dobësia është klasifikuar si kritike; detajet nuk janë dhënë ende, por për sa i përket ashpërsisë problemi është afër cenueshmërisë së bujshme Heartbleed. Një nivel kritik rreziku nënkupton mundësinë e një sulmi në distancë në konfigurimet standarde. Problemet që çojnë në rrjedhje në distancë të përmbajtjes së kujtesës së serverit, ekzekutimin e kodit të sulmuesit ose komprometimin e çelësave privatë të serverit mund të klasifikohen si kritike. Një patch OpenSSL 3.0.7 që rregullon problemin dhe informacione rreth natyrës së cenueshmërisë do të publikohet më 1 nëntor.
Burimi: opennet.ru