Zbog nekih problema sa stabilnošću i sigurnošću, izdanje Fedore 37 ponovno je odgođeno
Nedavno je programeri Fedora projekta najavili su odgodu izdanja Fedora 37, koji je trebao biti objavljen 18. listopada, ali je zbog sigurnosnih problema novi datum izlaska odgođen za 15. studenog, kao što je već spomenuto zbog potrebe da se ispravi kritična ranjivost u OpenSSL biblioteci.
Budući da su podaci o suštini ranjivost će biti otkrivena tek 1. studenog i nije jasno koliko će trajati implementacija zaštite u distribuciji, odlučeno je odgoditi puštanje za 2 tjedna.
Zbog izvanrednih grešaka u rušenju [1], F37 Final Release Candidate 3 proglašen je NO-GO. Zbog nadolazećeg otkrivanja kritične ranjivosti OpenSSL-a, pomičemo sljedeći ciljni datum za jedan tjedan unaprijed.
Sljedeći završni Fedora Linux 37 Go/No-Go sastanak[3] održat će se u 1700:10 UTC u četvrtak, 3. studenog na #fedora-meeting. Težit ćemo 15. studenom do "ciljanog datuma #XNUMX". Raspored izdavanja ažuriran je u skladu s tim.
Ovo nije prvi put da je Fedorino izdanje odgođeno. 37 za 18. listopada, ali je dva puta odgođen (na 25. listopada i 1. studenog) zbog nezadovoljavanja kriterija kvalitete.
Trenutno postoje 3 neriješena problema u konačnim testnim verzijama koje su klasificirane kao zaključavanje otpuštanja, oko problem s OpenSSL-om spominje se sljedeće:
To utječe na uobičajene konfiguracije i one će se također vjerojatno moći iskoristiti. Primjeri uključuju značajno otkrivanje sadržaja memorije poslužitelja (potencijalno otkrivanje detalja o korisniku), ranjivosti koje se mogu lako iskoristiti na daljinu za kompromitiranje privatnih ključeva poslužitelja ili gdje se daljinsko izvršavanje koda smatra vjerojatnim u uobičajenim situacijama. Ovi će problemi ostati privatni i rezultirat će novom verzijom svih podržanih verzija. Pokušat ćemo ih riješiti što je prije moguće.
O kritičnoj ranjivosti u OpenSSL, spomenuto je da to utječe samo na granu 3.0.x, tako da to ne utječe na verzije 1.1.1x. Problem je i to što se grana OpenSSL 3.0 već koristi u distribucijama kao što su Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable.
U SUSE Linux Enterprise 15 SP4 i openSUSE Leap 15.4, paketi s OpenSSL 3.0 dostupni su kao opcija, sistemski paketi koriste granu 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 ostaju u ograncima OpenSSL 1.x.
Ranjivost je klasificirana kao kritična, Detalji još nisu objavljeni, ali u smislu ozbiljnosti, problem je blizak senzacionalnoj ranjivosti Heartbleeda. Kritična razina opasnosti podrazumijeva mogućnost daljinskog napada na tipične konfiguracije. Kritični problemi mogu se klasificirati kao problemi koji dovode do curenja memorije udaljenog poslužitelja, izvršavanja koda napadača ili ugrožavanja privatnog ključa poslužitelja. Popravak za OpenSSL 3.0.7 koji rješava problem a informacije o prirodi ranjivosti bit će objavljene 1. studenog.
Osim potrebe za ispravljanjem ranjivosti u openssl-u, kwin composite manager zamrzava se prilikom pokretanja KDE Plasma sesije temeljene na Waylandu kada je postavljeno na nomodeset (osnovna grafika) u UEFI-ju, to se događa jer simpledrm netočno oglašava 10-bitne formate piksela u izvornim 8-bitnim međuspremnicima okvira.
Drugi problem koji je predstavljen, nalazi se u aplikaciji gnome-calendar se zamrzava prilikom uređivanja ponavljajućih događaja a to je da kada se doda ponavljajući događaj koji traje tjedno do određenog datuma u budućnosti, odnosno nekoliko tjedana, više se ne može uređivati ili brisati. To dovodi do toga da svaki pokušaj otvaranja događaja zamrzava aplikaciju i otvara dijaloški okvir "Prisilni izlaz" koji se na kraju mora upotrijebiti za izlaz iz aplikacije.
Konačno ako vas zanima više o tome, detalje možete provjeriti u sljedeći link.