Weens 'n kwesbaarheid in OpenSSL is Fedora 37 twee weke vertraag, dit sou op 15 November aankom

Donkerkrizt | | Opgedateer op | Nuus

Geen kommentaar nie

Fedora-37

Weens sekere stabiliteits- en sekuriteitskwessies word die vrystelling van Fedora 37 weer vertraag

Onlangs ontwikkelaars van die Fedora-projek het die uitstel van die vrystelling van Fedora 37 aangekondig, wat geskeduleer was om op 18 Oktober vrygestel te word, maar weens sekuriteitsprobleme is die nuwe vrystellingsdatum uitgestel na 15 November, dit soos reeds genoem weens die behoefte om 'n kritieke kwesbaarheid in die OpenSSL-biblioteek reg te stel.

Aangesien die data oor die essensie van die kwesbaarheid sal eers op 1 November bekend gemaak word en dit is nie duidelik hoe lank dit sal neem om die beskerming te implementeer nie in verspreiding is besluit om die vrystelling vir 2 weke uit te stel.

As gevolg van uitstaande ongelukfoute[1], is F37 Finale Vrystellingskandidaat 3 as 'n NO-GO verklaar. As gevolg van die komende kritieke OpenSSL-kwesbaarheid-openbaarmaking, skuif ons die volgende teikendatum met een week vorentoe.

Die volgende finale Fedora Linux 37 Go/No-Go vergadering[3] sal gehou word om 1700 UTC op Donderdag, 10 November by #fedora-vergadering. Ons sal mik na die "teikendatum #3"-mylpaal van 15 November. Die vrystellingskedule is dienooreenkomstig bygewerk.

Dit is nie die eerste keer dat Fedora se vrystelling herskeduleer is nie. 37 vir 18 Oktober, maar is twee keer vertraag (tot 25 Oktober en 1 November) weens gehaltekriteria wat nie nagekom is nie.

Daar is tans 3 onopgeloste kwessies in die finale toets bouwerk wat as vrylatingslot geklassifiseer word, ongeveer die probleem met OpenSSL die volgende word genoem:

Dit beïnvloed algemene konfigurasies en hulle sal waarskynlik ook ontginbaar wees. Voorbeelde sluit in beduidende openbaarmaking van bedienergeheue-inhoud (wat moontlik gebruikersbesonderhede openbaar), kwesbaarhede wat maklik op afstand uitgebuit kan word om bediener privaat sleutels in die gedrang te bring, of waar die uitvoering van afstandkode-uitvoering waarskynlik in algemene situasies geag word. Hierdie kwessies sal privaat gehou word en sal lei tot 'n nuwe weergawe van alle ondersteunde weergawes. Ons sal probeer om dit so gou moontlik op te los.

Oor die kritieke kwesbaarheid in OpenSSL, daar word genoem dat dit slegs die 3.0.x-tak affekteer, dus weergawes 1.1.1x word nie geraak nie. Die probleem is ook dat die OpenSSL 3.0-tak reeds gebruik word in verspreidings soos Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, ​​​​Debian-toetsing/onstabiel.

In SUSE Linux Enterprise 15 SP4 en openSUSE Leap 15.4 is pakkette met OpenSSL 3.0 as 'n opsie beskikbaar, stelselpakkette gebruik die 1.1.1-tak. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 bly in die OpenSSL 1.x-takke.

Die kwesbaarheid word as kritiek geklassifiseer, Besonderhede is nog nie aangemeld nie, maar wat die erns betref, is die kwessie naby aan die opspraakwekkende Heartbleed-kwesbaarheid. Die kritieke vlak van gevaar impliseer die moontlikheid van 'n afgeleë aanval op tipiese konfigurasies. Kritiese kwessies kan geklassifiseer word as kwessies wat lei tot lekkasies van afgeleë bedienergeheue, uitvoering van aanvallerkode, of bediener privaat sleutel kompromie. Die OpenSSL 3.0.7-oplossing wat die probleem regstel en inligting oor die aard van die kwesbaarheid sal op 1 November gepubliseer word.

Benewens die behoefte om 'n kwesbaarheid in openssl reg te stel, kwin saamgestelde bestuurder vries wanneer 'n Wayland-gebaseerde KDE Plasma-sessie begin word wanneer dit op nomodeset (basiese grafika) in UEFI gestel is, gebeur dit omdat simpledrm 10-bis pixelformate verkeerd adverteer in inheemse 8-bis raam buffers.

Die ander probleem wat aangebied word, is in die aansoek kabouter-kalender vries wanneer herhalende gebeurtenisse gewysig word en dit is dat wanneer 'n herhalende gebeurtenis bygevoeg word wat weekliks strek tot 'n sekere datum in die toekoms, dit wil sê vir etlike weke, kan dit nie meer geredigeer of uitgevee word nie. Dit lei daartoe dat enige poging om die gebeurtenis oop te maak, die toepassing vries en 'n "Force Quit"-dialoog laat verskyn wat uiteindelik gebruik moet word om die toepassing te verlaat.

Uiteindelik as u belangstel om meer daaroor te wete te kom, kan u die besonderhede in die volgende skakel.


Die inhoud van die artikel voldoen aan ons beginsels van redaksionele etiek. Klik op om 'n fout te rapporteer hier.

Wees die eerste om te kommentaar lewer

Laat u kommentaar

Jou e-posadres sal nie gepubliseer word nie. Verpligte velde gemerk met *

*

*

  1. Verantwoordelik vir die data: Miguel Ángel Gatón
  2. Doel van die data: Beheer SPAM, bestuur van kommentaar.
  3. Wettiging: U toestemming
  4. Kommunikasie van die data: Die data sal nie aan derde partye oorgedra word nie, behalwe deur wettige verpligtinge.
  5. Datastoor: databasis aangebied deur Occentus Networks (EU)
  6. Regte: U kan u inligting te alle tye beperk, herstel en verwyder.