Devido a alguns problemas de estabilidade e segurança, o lançamento do Fedora 37 é adiado novamente
Recentemente desenvolvedores do projeto Fedora anunciaram o adiamento do lançamento do Fedora 37, que estava programado para ser lançado em 18 de outubro, mas devido a problemas de segurança, a nova data de lançamento foi adiada para 15 de novembro, isso como já mencionado devido à necessidade de corrigir uma vulnerabilidade crítica na biblioteca OpenSSL.
Uma vez que os dados sobre a essência da a vulnerabilidade será divulgada apenas em 1º de novembro e não está claro quanto tempo levará para implementar a proteção na distribuição, foi decidido adiar o lançamento por 2 semanas.
Devido a bugs de travamento pendentes[1], o F37 Final Release Candidate 3 foi declarado NO-GO. Devido à próxima divulgação crítica da vulnerabilidade OpenSSL, estamos avançando a próxima data prevista em uma semana.
A próxima reunião final do Fedora Linux 37 Go/No-Go[3] será realizada às 1700:10 UTC na quinta-feira, 3 de novembro no #fedora-meeting. Estaremos visando o marco “target date #15” de XNUMX de novembro. O cronograma de lançamento foi atualizado de acordo.
Esta não é a primeira vez que o lançamento do Fedora é reagendado. 37 para 18 de outubro, mas foi adiado duas vezes (para 25 de outubro e 1º de novembro) devido ao não cumprimento dos critérios de qualidade.
Existem atualmente 3 problemas não resolvidos nas compilações de teste finais que são classificadas como trava de liberação, cerca de o problema com o OpenSSL é mencionado o seguinte:
Isso afeta configurações comuns e também é provável que sejam exploráveis. Os exemplos incluem divulgação significativa do conteúdo da memória do servidor (possivelmente revelando detalhes do usuário), vulnerabilidades que podem ser facilmente exploradas remotamente para comprometer as chaves privadas do servidor ou onde a execução remota de código é considerada provável em situações comuns. Esses problemas serão mantidos em sigilo e resultarão em uma nova versão de todas as versões com suporte. Vamos tentar resolvê-los o mais rápido possível.
Sobre a vulnerabilidade crítica em OpenSSL, é mencionado que isso afeta apenas o branch 3.0.x, portanto, as versões 1.1.1x não são afetadas. O problema também é que o branch OpenSSL 3.0 já é usado em distribuições como Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable.
No SUSE Linux Enterprise 15 SP4 e no openSUSE Leap 15.4, os pacotes com OpenSSL 3.0 estão disponíveis como opção, os pacotes do sistema usam a ramificação 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 permanecem nas ramificações OpenSSL 1.x.
A vulnerabilidade é classificada como crítica, Os detalhes ainda não foram relatados, mas em termos de gravidade, o problema está próximo da sensacional vulnerabilidade Heartbleed. O nível crítico de perigo implica na possibilidade de um ataque remoto em configurações típicas. Os problemas críticos podem ser classificados como problemas que levam a vazamentos de memória do servidor remoto, execução de código do invasor ou comprometimento da chave privada do servidor. A correção do OpenSSL 3.0.7 que corrige o problema e as informações sobre a natureza da vulnerabilidade serão publicadas em 1º de novembro.
Além da necessidade de corrigir uma vulnerabilidade no openssl, O gerenciador de composição kwin congela ao iniciar uma sessão do KDE Plasma baseada em Wayland quando definido como nomodeset (gráficos básicos) em UEFI, isso acontece porque o simpledrm anuncia incorretamente formatos de pixel de 10 bits em buffers de quadro de 8 bits nativos.
O outro problema que é apresentado, está no aplicativo gnome-calendar congela ao editar eventos recorrentes e é que quando é adicionado um evento recorrente que se estende semanalmente até uma determinada data no futuro, ou seja, por várias semanas, não pode mais ser editado ou excluído. Isso leva a qualquer tentativa de abrir o evento congelando o aplicativo e abrindo uma caixa de diálogo "Forçar Encerrar" que deve ser usada para encerrar o aplicativo.
Finalmente se você estiver interessado em saber mais sobre isso, você pode verificar os detalhes em o seguinte link.