به دلیل یک آسیب پذیری در OpenSSL Fedora 37 که دو هفته به تعویق افتاد، در 15 نوامبر وارد می شود.

اخیراً توسعه دهندگان پروژه فدورا از تعویق انتشار فدورا 37 خبر دادند، که قرار بود در 18 اکتبر منتشر شود، اما به دلیل مشکلات امنیتی، تاریخ انتشار جدید به 15 نوامبر موکول شد، همانطور که قبلا ذکر شد به دلیل نیاز به اصلاح یک آسیب پذیری مهم در کتابخانه OpenSSL.

از آنجایی که داده ها در مورد ماهیت این آسیب پذیری تنها در تاریخ 1 نوامبر فاش می شود و مشخص نیست که اجرای حفاظت چقدر طول می کشد. در توزیع، تصمیم گرفته شد که انتشار به مدت 2 هفته به تعویق بیفتد.

با توجه به اشکالات برجسته تصادف[1]، F37 F3 Final Release Candidate XNUMX به عنوان NO-GO اعلام شد. با توجه به افشای آسیب‌پذیری OpenSSL بحرانی آینده، ما تاریخ هدف بعدی را یک هفته به جلو می‌بریم.

جلسه نهایی بعدی فدورا لینوکس 37 Go/No-Go[3] در ساعت 1700 UTC در روز پنجشنبه، 10 نوامبر در #فدورا-میتینگ برگزار خواهد شد. هدف ما نقطه عطف "تاریخ هدف شماره 3" در 15 نوامبر خواهد بود. برنامه زمانبندی انتشار بر این اساس به روز شده است.

این اولین بار نیست که انتشار فدورا دوباره برنامه ریزی می شود. 37 برای 18 اکتبر، اما دو بار (تا 25 اکتبر و 1 نوامبر) به دلیل رعایت نکردن معیارهای کیفی به تعویق افتاد.

در حال حاضر 3 مشکل حل نشده وجود دارد در بیلدهای آزمایشی نهایی که به عنوان قفل آزاد طبقه بندی می شوند، حدود مشکل OpenSSL موارد زیر ذکر شده است:

این بر پیکربندی‌های رایج تأثیر می‌گذارد و همچنین احتمالاً قابل بهره‌برداری هستند. به عنوان مثال می توان به افشای قابل توجه محتویات حافظه سرور (به طور بالقوه افشای جزئیات کاربر)، آسیب پذیری هایی که به راحتی می توان از راه دور برای به خطر انداختن کلیدهای خصوصی سرور مورد سوء استفاده قرار داد، یا در مواردی که اجرای کد از راه دور در موقعیت های معمولی محتمل در نظر گرفته می شود، اشاره کرد. این مشکلات خصوصی نگه داشته می شوند و منجر به نسخه جدیدی از همه نسخه های پشتیبانی می شود. ما سعی خواهیم کرد در اسرع وقت آنها را حل کنیم.

درباره آسیب پذیری بحرانی در OpenSSL، ذکر شده است که این فقط بر شاخه 3.0.x تأثیر می گذارد، بنابراین نسخه های 1.1.1x تحت تأثیر قرار نمی گیرند. مشکل همچنین این است که شاخه OpenSSL 3.0 قبلاً در توزیع هایی مانند Ubuntu 22.04، CentOS Stream 9، RHEL 9، OpenMandriva 4.2، Gentoo، Fedora 36، Debian Testing/Unstable استفاده می شود.

در SUSE Linux Enterprise 15 SP4 و openSUSE Leap 15.4، بسته های دارای OpenSSL 3.0 به عنوان یک گزینه در دسترس هستند، بسته های سیستمی از شاخه 1.1.1 استفاده می کنند. Debian 11، Arch Linux، Void Linux، Ubuntu 20.04، Slackware، ALT Linux، RHEL 8، OpenWrt، Alpine Linux 3.16 در شاخه های OpenSSL 1.x باقی می مانند.

آسیب پذیری به عنوان بحرانی طبقه بندی می شود، هنوز جزئیاتی گزارش نشده است، اما از نظر شدت، موضوع به آسیب‌پذیری هیجان‌انگیز Heartbleed نزدیک است. سطح بحرانی خطر به معنای امکان حمله از راه دور به پیکربندی های معمولی است. مسائل مهم را می توان به عنوان مسائلی طبقه بندی کرد که منجر به نشت حافظه سرور راه دور، اجرای کد مهاجم یا به خطر افتادن کلید خصوصی سرور می شود. راه حل OpenSSL 3.0.7 که مشکل را برطرف می کند و اطلاعات مربوط به ماهیت آسیب پذیری در تاریخ 1 نوامبر منتشر خواهد شد.

علاوه بر نیاز به رفع یک آسیب پذیری در openssl، مدیر ترکیبی kwin هنگام شروع یک جلسه KDE Plasma مبتنی بر Wayland متوقف می شود وقتی در UEFI روی nomodeset (گرافیک پایه) تنظیم می شود، این اتفاق می افتد زیرا simpledrm به اشتباه فرمت های پیکسل 10 بیتی را در بافرهای فریم 8 بیتی بومی تبلیغ می کند.

مشکل دیگر که ارائه شده است، در برنامه است gnome-calendar هنگام ویرایش رویدادهای تکراری ثابت می‌شود و این است که وقتی یک رویداد تکراری اضافه می شود که به صورت هفتگی تا تاریخ خاصی در آینده، یعنی برای چندین هفته تمدید می شود، دیگر نمی توان آن را ویرایش یا حذف کرد. این منجر به هرگونه تلاش برای باز کردن رویداد می‌شود و برنامه را مسدود می‌کند و یک گفتگوی «ترک اجباری» را نشان می‌دهد که در نهایت باید برای خروج از برنامه استفاده شود.

سرانجام اگر شما علاقه مند به دانستن بیشتر در مورد آن هستید، می توانید جزئیات را در اینجا بررسی کنید لینک زیر