Fedora loyihasini ishlab chiquvchilari OpenSSL kutubxonasidagi muhim zaiflikni bartaraf etish zarurati tufayli Fedora 37-ning chiqarilishi 15-noyabrga ko‘chirilganligini e’lon qilishdi. Zaiflikning mohiyati haqidagi ma'lumotlar faqat 1-noyabr kuni oshkor etilishi va tarqatishda himoyani amalga oshirish uchun qancha vaqt ketishi noma'lum bo'lganligi sababli, chiqarishni 2 haftaga kechiktirishga qaror qilindi. Bu Fedora 37-ning chiqarilish sanasi birinchi marta emas, balki 18 oktyabrda kutilgan edi, lekin sifat mezonlariga javob bermagani uchun ikki marta (25 oktyabr va 1 noyabrga) qoldirildi.
Hozirda 3 ta masala yakuniy sinov tuzilmalarida tuzatilmagan va nashrni bloklovchi sifatida tasniflangan. Openssl-dagi zaiflikni tuzatish zarurati bilan bir qatorda, UEFI-da rejim nomodeset (asosiy grafik) ga sozlanganda Wayland-ga asoslangan KDE Plazma seansini boshlashda kwin kompozit menejeri osib qo'yadi va gnome-taqvim ilovasi takrorlanuvchilarni tahrirlashda qotib qoladi. voqealar.
OpenSSL-dagi muhim zaiflik faqat 3.0.x filialiga ta'sir qiladi; 1.1.1x versiyalari ta'sir qilmaydi. OpenSSL 3.0 filiali allaqachon Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Beqaror kabi tarqatishlarda qo'llanilgan. SUSE Linux Enterprise 15 SP4 va openSUSE Leap 15.4 da OpenSSL 3.0 paketlari ixtiyoriy ravishda mavjud, tizim paketlari 1.1.1 filialidan foydalanadi. Debian 1, Arch Linux, Void Linux, Ubuntu 11, Slackware, ALT Linux, RHEL 20.04, OpenWrt, Alpine Linux 8 OpenSSL 3.16.x filiallarida qoladi.
Zaiflik tanqidiy deb tasniflanadi; tafsilotlar hali berilmagan, ammo jiddiylik nuqtai nazaridan muammo shov-shuvli Heartbleed zaifligiga yaqin. Kritik xavf darajasi standart konfiguratsiyalarga masofadan hujum qilish imkoniyatini nazarda tutadi. Server xotirasi tarkibining masofadan oqib chiqishiga, tajovuzkor kodining bajarilishiga yoki server shaxsiy kalitlarining buzilishiga olib keladigan muammolarni muhim deb tasniflash mumkin. Muammoni tuzatuvchi OpenSSL 3.0.7 yamog‘i va zaiflikning tabiati haqidagi ma’lumotlar 1 noyabrda e’lon qilinadi.
Manba: opennet.ru