Inihayag ng mga developer ng proyektong Fedora ang pagpapaliban ng pagpapalabas ng Fedora 37 hanggang Nobyembre 15 dahil sa pangangailangang alisin ang isang kritikal na kahinaan sa OpenSSL library. Dahil ang data tungkol sa kakanyahan ng kahinaan ay ibubunyag lamang sa Nobyembre 1 at hindi malinaw kung gaano katagal bago ipatupad ang proteksyon sa pamamahagi, napagpasyahan na ipagpaliban ang paglabas ng 2 linggo. Hindi ito ang unang pagkakataon na inaasahan ang petsa ng paglabas para sa Fedora 37 noong Oktubre 18, ngunit dalawang beses itong ipinagpaliban (sa Oktubre 25 at Nobyembre 1) dahil sa pagkabigo na matugunan ang pamantayan sa kalidad.
Sa kasalukuyan, 3 isyu ang nananatiling hindi naaayos sa mga huling pagsubok na build at inuri bilang pagharang sa paglabas. Bilang karagdagan sa pangangailangang ayusin ang vulnerability sa openssl, ang kwin composite manager ay nag-hang kapag nagsisimula ng Wayland-based na KDE Plasma session kapag ang mode ay nakatakda sa nomodeset (basic graphics) sa UEFI, at ang gnome-calendar application ay nag-freeze kapag umuulit ang pag-edit. mga pangyayari.
Ang kritikal na kahinaan sa OpenSSL ay nakakaapekto lamang sa 3.0.x na sangay; 1.1.1x na paglabas ay hindi apektado. Ang OpenSSL 3.0 branch ay ginagamit na sa mga distribusyon gaya ng Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, ββββDebian Testing/Unstable. Sa SUSE Linux Enterprise 15 SP4 at openSUSE Leap 15.4, ang mga package na may OpenSSL 3.0 ay available bilang opsyonal, ginagamit ng mga system package ang 1.1.1 branch. Ang Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 ay nananatili sa mga sangay ng OpenSSL 3.16.x.
Ang kahinaan ay inuri bilang kritikal; ang mga detalye ay hindi pa naibibigay, ngunit sa mga tuntunin ng kalubhaan ang problema ay malapit sa kahindik-hindik na kahinaan sa Heartbleed. Ang isang kritikal na antas ng panganib ay nagpapahiwatig ng posibilidad ng isang malayuang pag-atake sa mga karaniwang configuration. Ang mga problemang humahantong sa malayuang pagtagas ng mga nilalaman ng memorya ng server, pagpapatupad ng code ng attacker, o kompromiso ng mga pribadong key ng server ay maaaring mauri bilang kritikal. Ang isang OpenSSL 3.0.7 patch na nag-aayos sa problema at impormasyon tungkol sa katangian ng kahinaan ay ipa-publish sa Nobyembre 1.
Pinagmulan: opennet.ru