ผู้พัฒนาโครงการ Fedora ประกาศเลื่อนการเปิดตัว Fedora 37 ไปเป็นวันที่ 15 พฤศจิกายน เนื่องจากจำเป็นต้องกำจัดช่องโหว่ที่สำคัญในไลบรารี OpenSSL เนื่องจากข้อมูลเกี่ยวกับแก่นแท้ของช่องโหว่จะถูกเปิดเผยในวันที่ 1 พฤศจิกายนเท่านั้น และไม่มีความชัดเจนว่าจะใช้เวลานานเท่าใดในการดำเนินการป้องกันในการเผยแพร่ จึงตัดสินใจเลื่อนการเปิดตัวออกไป 2 สัปดาห์ นี่ไม่ใช่ครั้งแรกที่คาดว่าจะวางจำหน่าย Fedora 37 ในวันที่ 18 ตุลาคม แต่ถูกเลื่อนออกไปสองครั้ง (เป็น 25 ตุลาคม และ 1 พฤศจิกายน) เนื่องจากไม่ผ่านเกณฑ์คุณภาพ
ปัจจุบัน ปัญหา 3 ประการยังคงไม่ได้รับการแก้ไขในรุ่นทดสอบขั้นสุดท้าย และจัดอยู่ในประเภทบล็อกการเผยแพร่ นอกเหนือจากความจำเป็นในการแก้ไขช่องโหว่ใน openssl แล้ว ตัวจัดการคอมโพสิต kwin จะหยุดทำงานเมื่อเริ่มเซสชัน KDE Plasma ที่ใช้ Wayland เมื่อโหมดถูกตั้งค่าเป็น nomodeset (กราฟิกพื้นฐาน) ใน UEFI และแอปพลิเคชัน gnome-calendar หยุดทำงานเมื่อทำการแก้ไขซ้ำ เหตุการณ์ต่างๆ
ช่องโหว่ร้ายแรงใน OpenSSL มีผลเฉพาะสาขา 3.0.x เท่านั้น ส่วนรุ่น 1.1.1x จะไม่ได้รับผลกระทบ สาขา OpenSSL 3.0 ถูกใช้อยู่แล้วในการกระจายเช่น Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, การทดสอบ Debian/ไม่เสถียร ใน SUSE Linux Enterprise 15 SP4 และ openSUSE Leap 15.4 แพ็คเกจที่มี OpenSSL 3.0 จะมีให้เลือกใช้ แพ็คเกจระบบใช้สาขา 1.1.1 Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 ยังคงอยู่ในสาขา OpenSSL 3.16.x
ช่องโหว่นี้จัดอยู่ในประเภทวิกฤติ ยังไม่ได้ให้รายละเอียด แต่ในแง่ของความรุนแรง ปัญหานั้นใกล้เคียงกับช่องโหว่ Heartbleed ที่น่าตื่นเต้น ระดับอันตรายร้ายแรงบ่งบอกถึงความเป็นไปได้ที่จะมีการโจมตีระยะไกลกับการกำหนดค่ามาตรฐาน ปัญหาที่นำไปสู่การรั่วไหลของเนื้อหาหน่วยความจำเซิร์ฟเวอร์จากระยะไกล การเรียกใช้โค้ดของผู้โจมตี หรือการประนีประนอมกับคีย์ส่วนตัวของเซิร์ฟเวอร์สามารถจัดว่าร้ายแรงได้ แพตช์ OpenSSL 3.0.7 เพื่อแก้ไขปัญหาและข้อมูลเกี่ยวกับลักษณะของช่องโหว่จะมีการเผยแพร่ในวันที่ 1 พฤศจิกายน
ที่มา: opennet.ru