由于需要消除 OpenSSL 库中的一个关键漏洞,Fedora 项目的开发人员宣布将 Fedora 37 的发布推迟到 15 月 1 日。 由于有关漏洞本质的数据要到2月37日才会披露,并且尚不清楚需要多长时间才能在发行版中实施保护,因此决定推迟发布两周。 这并不是 Fedora 18 第一次预计发布日期为 25 月 1 日,但由于未能满足质量标准而两次推迟(分别为 XNUMX 月 XNUMX 日和 XNUMX 月 XNUMX 日)。
目前,最终测试版本中仍有 3 个问题未解决,并被归类为阻碍发布。 除了需要修复 openssl 中的漏洞之外,当在 UEFI 中将模式设置为 nomodeset(基本图形)时,启动基于 Wayland 的 KDE Plasma 会话时,kwin 复合管理器会挂起,并且在编辑循环时,gnome-calendar 应用程序会冻结事件。
OpenSSL 中的严重漏洞仅影响 3.0.x 分支;1.1.1x 版本不受影响。 OpenSSL 3.0分支已经在Ubuntu 22.04、CentOS Stream 9、RHEL 9、OpenMandriva 4.2、Gentoo、Fedora 36、Debian测试/不稳定等发行版中使用。 在 SUSE Linux Enterprise 15 SP4 和 openSUSE Leap 15.4 中,可以选择使用 OpenSSL 3.0 的软件包,系统软件包使用 1.1.1 分支。 Debian 1、Arch Linux、Void Linux、Ubuntu 11、Slackware、ALT Linux、RHEL 20.04、OpenWrt、Alpine Linux 8 仍保留在 OpenSSL 3.16.x 分支上。
该漏洞被归类为严重漏洞;尚未提供详细信息,但就严重性而言,该问题接近于耸人听闻的 Heartbleed 漏洞。 危险程度达到临界水平意味着标准配置可能受到远程攻击。 导致服务器内存内容远程泄漏、攻击者代码执行或服务器私钥泄露的问题可归类为严重问题。 修复该问题的 OpenSSL 3.0.7 补丁以及有关漏洞性质的信息将于 1 月 XNUMX 日发布。
来源: opennet.ru