Pamekar proyék Fedora ngumumkeun penundaan sékrési Fedora 37 ka 15 Nopémber kusabab kabutuhan pikeun ngaleungitkeun kerentanan kritis dina perpustakaan OpenSSL. Kusabab data ngeunaan hakekat kerentanan bakal diungkabkeun ngan ukur dina 1 Nopémber sareng henteu écés sabaraha lami éta bakal ngalaksanakeun panyalindungan dina distribusi, éta mutuskeun pikeun nunda sékrési ku 2 minggu. Ieu sanés pertama kalina tanggal sékrési Fedora 37 diperkirakeun dina 18 Oktober, tapi ditunda dua kali (ka 25 Oktober sareng 1 Nopémber) kusabab gagal nyumponan kriteria kualitas.
Ayeuna, 3 masalah tetep teu dibenerkeun dina tés ahir ngawangun sareng digolongkeun salaku ngahalangan sékrési. Salian kabutuhan pikeun ngalereskeun kerentanan dina openssl, manajer komposit kwin ngagantung nalika ngamimitian sési KDE Plasma basis Wayland nalika mode disetel ka nomodeset (grafik dasar) dina UEFI, sareng aplikasi kalénder gnome beku nalika ngédit ngulang deui. kajadian.
Kerentanan kritis dina OpenSSL ngan ukur mangaruhan cabang 3.0.x; Kaluaran 1.1.1x henteu kapangaruhan. Cabang OpenSSL 3.0 parantos dianggo dina distribusi sapertos Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing / Unstable. Dina SUSE Linux Enterprise 15 SP4 sareng openSUSE Leap 15.4, bungkusan sareng OpenSSL 3.0 sayogi opsional, bungkusan sistem nganggo cabang 1.1.1. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 tetep dina cabang OpenSSL 3.16.x.
Kerentanan digolongkeun kritis; detil henteu acan disayogikeun, tapi tina segi parah masalahna caket sareng kerentanan Heartbleed anu sensasional. Tingkat bahaya anu kritis nunjukkeun kamungkinan serangan jarak jauh dina konfigurasi standar. Masalah anu nyababkeun bocor jauh eusi mémori server, palaksanaan kodeu panyerang, atanapi kompromi konci pribadi pangladén tiasa digolongkeun kritis. Patch OpenSSL 3.0.7 ngalereskeun masalah sareng inpormasi ngeunaan sifat kerentanan bakal diterbitkeun dina 1 Nopémber.
sumber: opennet.ru