Розробники проекту Fedora оголосили про перенесення релізу Fedora 37 на 15 листопада через необхідність усунення критичної вразливості в бібліотеці OpenSSL. Так як дані про сутність уразливості будуть розкриті лише 1 листопада і незрозуміло скільки часу потрібно для реалізації захисту у дистрибутиві вирішено відкласти випуск на 2 тижні. Це не перше перенесення термінів — спочатку реліз Fedora 37 очікувався 18 жовтня, але двічі був перенесений (на 25 жовтня та 1 листопада) через невиконання критеріїв якості.
В даний час у фінальних тестових збірках залишаються невиправленими 3 проблеми, які віднесені до блокуючих випусків. Крім необхідності усунення вразливості в openssl, згадується зависання композитного менеджера kwin при запуску сеансу KDE Plasma на базі Wayland при виставленні режиму nomodeset (базова графіка) в UEFI і зависання програми gnome-calendar при редагуванні подій, що повторюються.
Критична вразливість в OpenSSL зачіпає лише гілку 3.0.x, випуски 1.1.1x уразливості не схильні. Гілка OpenSSL 3.0 вже використовується в таких дистрибутивах як Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. У SUSE Linux Enterprise 15 SP4 та openSUSE Leap 15.4 пакети з OpenSSL 3.0 доступні опціонально, системні пакети використовують гілку 1.1.1. На гілках OpenSSL 1.x залишаються Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16.
Вразливість віднесена до категорії критичних, подробиці поки не повідомляються, але за рівнем небезпеки проблема близька до гучної вразливості Heartbleed. Критичний рівень небезпеки передбачає можливість здійснення віддаленої атаки типові конфігурації. До критичних можуть бути віднесені проблеми, що призводять до віддалених витоків вмісту пам'яті сервера, виконання коду атакуючого або компрометації серверних закритих ключів. Виправлення OpenSSL 3.0.7 з усуненням проблеми та інформацію про сутність вразливості буде опубліковано 1 листопада.
Джерело: opennet.ru