Поради някои проблеми със стабилността и сигурността, пускането на Fedora 37 отново се отлага
Наскоро разработчиците на проекта Fedora обявиха отлагането на пускането на Fedora 37, който беше планиран да бъде пуснат на 18 октомври, но поради проблеми със сигурността, новата дата на пускане беше отложена за 15 ноември, това, както вече беше споменато, поради необходимостта от коригиране на критична уязвимост в библиотеката OpenSSL.
Тъй като данните за същността на уязвимостта ще бъде разкрита едва на 1 ноември и не е ясно колко време ще отнеме прилагането на защитата в разпространението беше решено да се отложи освобождаването за 2 седмици.
Поради изключителни грешки при сривове [1], F37 Final Release Candidate 3 беше обявен за NO-GO. Поради предстоящото разкриване на критична уязвимост на OpenSSL, ние изместваме следващата целева дата с една седмица напред.
Следващата последна Fedora Linux 37 Go/No-Go среща[3] ще се проведе в 1700 UTC в четвъртък, 10 ноември на #fedora-meeting. Ще се стремим към „целевата дата №3“ на 15 ноември. Графикът за пускане е актуализиран съответно.
Това не е първият път, когато изданието на Fedora е пренасрочено. 37 за 18 октомври, но беше отложен два пъти (за 25 октомври и 1 ноември) поради неспазване на критериите за качество.
В момента има 3 неразрешени проблема в окончателния тест компилации, които са класифицирани като освобождаване на заключване, около проблемът с OpenSSL се споменава следното:
Това засяга често срещаните конфигурации и е вероятно те също да бъдат експлоатирани. Примерите включват значително разкриване на съдържанието на паметта на сървъра (потенциално разкриване на потребителски подробности), уязвимости, които могат лесно да бъдат използвани от разстояние за компрометиране на частни ключове на сървъра или когато дистанционното изпълнение на код се счита за вероятно в обичайни ситуации. Тези проблеми ще бъдат запазени поверителни и ще доведат до нова версия на всички поддържани версии. Ще се опитаме да ги разрешим възможно най-скоро.
Относно критичната уязвимост в OpenSSL, споменава се, че това засяга само клона 3.0.x, така че версии 1.1.1x не са засегнати. Проблемът също е, че клонът OpenSSL 3.0 вече се използва в дистрибуции като Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable.
В SUSE Linux Enterprise 15 SP4 и openSUSE Leap 15.4 пакетите с OpenSSL 3.0 са налични като опция, системните пакети използват разклонението 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 остават в клоновете на OpenSSL 1.x.
Уязвимостта е класифицирана като критична, Подробности все още не са съобщени, но по отношение на сериозността проблемът е близо до сензационната уязвимост на Heartbleed. Критичното ниво на опасност предполага възможност за отдалечена атака на типични конфигурации. Критичните проблеми могат да бъдат класифицирани като проблеми, които водят до изтичане на памет на отдалечен сървър, изпълнение на код на атакуващ или компрометиране на частния ключ на сървъра. Корекцията на OpenSSL 3.0.7, която коригира проблема и информация за естеството на уязвимостта ще бъде публикувана на 1 ноември.
В допълнение към необходимостта от коригиране на уязвимост в openssl, kwin composite manager замръзва при стартиране на базирана на Wayland KDE Plasma сесия когато е зададено на nomodeset (основна графика) в UEFI, това се случва, защото simpledrm неправилно рекламира 10-битови пикселни формати в естествени 8-битови кадрови буфери.
Другият проблем който е представен, е в приложението gnome-calendar замръзва при редактиране на повтарящи се събития и това е, че когато се добави повтарящо се събитие, което продължава всяка седмица до определена дата в бъдещето, тоест за няколко седмици, то вече не може да бъде редактирано или изтрито. Това води до замразяване на приложението при всеки опит за отваряне на събитието и извеждане на диалогов прозорец „Принудително излизане“, който в крайна сметка трябва да се използва за излизане от приложението.
Накрая ако се интересувате да научите повече за това, можете да проверите подробностите в следната връзка.