Kvůli zranitelnosti v OpenSSL byla Fedora 37 zpožděna o dva týdny, měla by dorazit 15. listopadu

Fedora-37

Kvůli některým problémům se stabilitou a bezpečností je vydání Fedory 37 opět odloženo

Nedávno vývojáři projektu Fedora oznámili odklad vydání Fedory 37, jehož vydání bylo naplánováno na 18. října, ale kvůli bezpečnostním problémům bylo nové datum vydání odloženo na 15. listopadu, jak již bylo zmíněno, kvůli potřebě opravit kritickou zranitelnost v knihovně OpenSSL.

Vzhledem k tomu, údaje o podstatě zranitelnost bude odhalena až 1. listopadu a není jasné, jak dlouho bude implementace ochrany trvat v distribuci bylo rozhodnuto odložit vydání o 2 týdny.

Kvůli nevyřešeným chybám při selhání[1] byl F37 Final Release Candidate 3 prohlášen za NO-GO. Kvůli nadcházejícímu odhalení kritické zranitelnosti OpenSSL posouváme další cílové datum o jeden týden dopředu.

Příští poslední setkání Fedora Linux 37 Go/No-Go[3] se bude konat ve čtvrtek 1700. listopadu v 10 UTC na #fedora-meeting. Budeme usilovat o milník „cílové datum č. 3“ 15. listopadu. Harmonogram vydání byl odpovídajícím způsobem aktualizován.

Není to poprvé, co bylo vydání Fedory přeplánováno. 37 na 18. října, ale byl dvakrát odložen (na 25. října a 1. listopadu) kvůli nesplnění kritérií kvality.

Momentálně jsou 3 nevyřešené problémy v závěrečném testu sestavení, která jsou klasifikována jako uvolnění zámku, asi problém s OpenSSL je uvedeno následující:

To ovlivňuje běžné konfigurace a je také pravděpodobné, že budou zneužitelné. Příklady zahrnují významné odhalení obsahu paměti serveru (potenciální odhalení podrobností o uživateli), zranitelnosti, které lze snadno zneužít na dálku ke kompromitaci soukromých klíčů serveru, nebo kde se vzdálené spuštění kódu v běžných situacích považuje za pravděpodobné. Tyto problémy zůstanou soukromé a budou mít za následek novou verzi všech podporovaných verzí. Pokusíme se je vyřešit co nejdříve.

O kritické zranitelnosti v OpenSSL, je zmíněno, že to ovlivňuje pouze větev 3.0.x, takže verze 1.1.1x nejsou ovlivněny. Problém je také v tom, že větev OpenSSL 3.0 se již používá v distribucích jako Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, ​​Debian Testing/Ustable.

V SUSE Linux Enterprise 15 SP4 a openSUSE Leap 15.4 jsou balíčky s OpenSSL 3.0 dostupné jako volitelná výbava, systémové balíčky využívají větev 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 zůstávají ve větvích OpenSSL 1.x.

Zranitelnost je klasifikována jako kritická, Podrobnosti zatím nebyly oznámeny, ale z hlediska závažnosti se problém blíží senzační zranitelnosti Heartbleed. Kritická úroveň nebezpečí implikuje možnost vzdáleného útoku na typické konfigurace. Kritické problémy lze klasifikovat jako problémy, které vedou k úniku paměti vzdáleného serveru, spuštění kódu útočníka nebo ohrožení soukromého klíče serveru. Oprava OpenSSL 3.0.7, která problém řeší a informace o povaze zranitelnosti budou zveřejněny 1. listopadu.

Kromě potřeby opravit zranitelnost v openssl, Kompozitní manažer kwin zamrzne při spuštění relace KDE Plasma založené na Wayland při nastavení na nomodeset (základní grafika) v UEFI se to stane, protože simpledrm nesprávně inzeruje 10bitové pixelové formáty v nativních 8bitových vyrovnávací paměti snímků.

Druhý problém který je uveden, je v aplikaci gnome-calendar zamrzne při úpravě opakujících se událostí a je to tak, že když je přidána opakující se událost, která trvá každý týden až do určitého data v budoucnosti, tj. po dobu několika týdnů, již ji nelze upravovat ani mazat. To vede k jakémukoli pokusu o otevření události zmrazení aplikace a vyvolání dialogového okna „Vynutit ukončení“, které musí být nakonec použito k ukončení aplikace.

Konečně pokud máte zájem o tom vědět více, můžete zkontrolovat podrobnosti v následující odkaz.


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Odpovědný za údaje: Miguel Ángel Gatón
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.