由於需要消除 OpenSSL 庫中的一個關鍵漏洞,Fedora 專案的開發人員宣布將 Fedora 37 的發布推遲到 15 月 1 日。 由於有關漏洞本質的數據要到2月37日才會披露,並且尚不清楚需要多長時間才能在發行版中實施保護,因此決定推遲發布兩週。 這並不是 Fedora 18 第一次預計發布日期為 25 月 1 日,但由於未能滿足品質標準而兩次推遲(分別為 XNUMX 月 XNUMX 日和 XNUMX 月 XNUMX 日)。
目前,最終測試版本中仍有 3 個問題未解決,並被歸類為阻礙發布。 除了需要修復openssl 中的漏洞之外,當在UEFI 中將模式設為nomodeset(基本圖形)時,啟動基於Wayland 的KDE Plasma 會話時,kwin 複合管理器會掛起,並且在編輯循環時,gnome- calendar 應用程式會凍結事件。
OpenSSL 中的嚴重漏洞僅影響 3.0.x 分支;1.1.1x 版本不受影響。 OpenSSL 3.0分支已經在Ubuntu 22.04、CentOS Stream 9、RHEL 9、OpenMandriva 4.2、Gentoo、Fedora 36、Debian測試/不穩定等發行版中使用。 在 SUSE Linux Enterprise 15 SP4 和 openSUSE Leap 15.4 中,可以選擇使用 OpenSSL 3.0 的軟體包,系統軟體包使用 1.1.1 分支。 Debian 1、Arch Linux、Void Linux、Ubuntu 11、Slackware、ALT Linux、RHEL 20.04、OpenWrt、Alpine Linux 8 仍保留在 OpenSSL 3.16.x 分支上。
該漏洞被歸類為嚴重漏洞;尚未提供詳細信息,但就嚴重性而言,該問題接近於聳人聽聞的 Heartbleed 漏洞。 危險程度達到臨界水準意味著標準配置可能受到遠端攻擊。 導致伺服器記憶體內容遠端洩漏、攻擊者程式碼執行或伺服器私鑰外洩的問題可歸類為嚴重問題。 修復該問題的 OpenSSL 3.0.7 修補程式以及有關漏洞性質的資訊將於 1 月 XNUMX 日發布。
來源: opennet.ru