Utvecklarna av Fedora-projektet tillkännagav senareläggningen av utgivningen av Fedora 37 till den 15 november på grund av behovet av att eliminera en kritisk sårbarhet i OpenSSL-biblioteket. Eftersom data om kärnan i sårbarheten kommer att avslöjas först den 1 november och det är oklart hur lång tid det kommer att ta att implementera skydd i distributionen, beslutades att skjuta upp releasen med 2 veckor. Det här är inte första gången releasedatumet för Fedora 37 förväntades den 18 oktober, men det sköts upp två gånger (till 25 oktober och 1 november) på grund av att kvalitetskriterierna inte uppfylldes.
För närvarande förblir 3 problem ofixade i de slutliga testbyggena och klassificeras som blockerar releasen. Förutom behovet av att åtgärda sårbarheten i openssl, hänger kwin-komposithanteraren vid start av en Wayland-baserad KDE Plasma-session när läget är inställt på nomodeset (grundläggande grafik) i UEFI, och gnome-calendar-applikationen fryser vid återkommande redigering evenemang.
Den kritiska sårbarheten i OpenSSL påverkar endast 3.0.x-grenen, 1.1.1x-versioner påverkas inte. OpenSSL 3.0-grenen används redan i sådana distributioner som Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. I SUSE Linux Enterprise 15 SP4 och openSUSE Leap 15.4 är paket med OpenSSL 3.0 tillgängliga valfritt, systempaket använder 1.1.1-grenen. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 finns kvar på OpenSSL 3.16.x-grenarna.
Sårbarheten klassificeras som kritisk, detaljer har ännu inte lämnats, men när det gäller svårighetsgrad ligger problemet nära den sensationella Heartbleed-sårbarheten. En kritisk risknivå innebär möjligheten för en fjärrattack på standardkonfigurationer. Problem som leder till fjärrläckor av serverminnesinnehåll, exekvering av angriparkod eller kompromiss med serverns privata nycklar kan klassificeras som kritiska. En OpenSSL 3.0.7-patch som åtgärdar problemet och information om sårbarhetens natur kommer att publiceras den 1 november.
Källa: opennet.ru