Fedora projesinin geliştiricileri, OpenSSL kütüphanesindeki kritik bir güvenlik açığının ortadan kaldırılması ihtiyacı nedeniyle Fedora 37'nin piyasaya sürülmesinin 15 Kasım'a ertelendiğini duyurdu. Güvenlik açığının özüne ilişkin verilerin ancak 1 Kasım'da açıklanacağı ve dağıtımda korumanın ne kadar sürede uygulanacağı belirsiz olduğundan, sürümün 2 hafta ertelenmesine karar verildi. Bu, Fedora 37'nin çıkış tarihinin 18 Ekim olarak beklendiği ilk sefer değil, ancak kalite kriterlerinin karşılanamaması nedeniyle iki kez (25 Ekim ve 1 Kasım'a) ertelendi.
Şu anda son test yapılarında 3 sorun çözülmemiş durumda ve sürümün engellenmesi olarak sınıflandırılıyor. Openssl'deki güvenlik açığını düzeltme ihtiyacına ek olarak, kwin kompozit yöneticisi, Wayland tabanlı KDE Plazma oturumu başlatıldığında, mod UEFI'de nomodeset (temel grafikler) olarak ayarlandığında takılıyor ve gnome-calendar uygulaması yinelenen düzenleme sırasında donuyor olaylar.
Критическая уязвимость в OpenSSL затрагивает только ветку 3.0.x, выпуски 1.1.1x уязвимости не подвержены. Ветка OpenSSL 3.0 уже используется в таких дистрибутивах, как Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. В SUSE Linux Enterprise 15 SP4 и openSUSE Leap 15.4 пакеты с OpenSSL 3.0 доступны опционально, системные пакеты используют ветку 1.1.1. На ветках OpenSSL 1.x остаются Debian 11, Kemer Linux, Geçersiz Linux, Ubuntu 20.04 Nisan, Slackware, ALT LinuxRHEL 8, OpenWrt, Alpine Linux 3.16
Güvenlik açığı kritik olarak sınıflandırıldı; ayrıntılar henüz mevcut değil, ancak ciddiyet seviyesi kötü şöhretli Heartbleed güvenlik açığına benzer. Kritik ciddiyet seviyesi, tipik yapılandırmalara uzaktan saldırı olasılığını ima eder. Kritik sorunlar, uzaktan bellek sızıntılarına yol açan sorunları da içerebilir. sunucuSaldırgan kodunun çalıştırılması veya sunucu özel anahtarlarının ele geçirilmesi gibi durumlar söz konusu olabilir. Sorunu gideren ve güvenlik açığı hakkında bilgi içeren OpenSSL 3.0.7 yaması 1 Kasım'da yayınlanacaktır.
Kaynak: opennet.ru
