Из-за некоторых проблем со стабильностью и безопасностью выпуск Fedora 37 снова откладывается.
Недавно разработчики проекта Fedora объявили о переносе релиза Fedora 37, который должен был выйти 18 октября, но из-за проблем с безопасностью новая дата релиза перенесена на 15 ноября, это как уже было сказано из-за необходимости исправления критической уязвимости в библиотеке OpenSSL.
Поскольку данные о сущности уязвимость будет раскрыта только 1 ноября и пока не ясно, сколько времени займет реализация защиты в раздаче было принято решение отложить релиз на 2 недели.
Из-за выдающихся ошибок [1] финальный релиз-кандидат F37 3 был объявлен НЕПОДХОДНЫМ. В связи с предстоящим раскрытием критической уязвимости OpenSSL мы переносим следующую целевую дату на одну неделю вперед.
Следующая заключительная встреча Fedora Linux 37 Go/No-Go[3] состоится в 1700:10 UTC в четверг, 3 ноября, на #fedora-meeting. Мы будем стремиться к «целевой дате № 15» — XNUMX ноября. График выпуска обновлен соответствующим образом.
Это не первый случай переноса даты выпуска Fedora. 37 на 18 октября, но дважды переносился (на 25 октября и 1 ноября) из-за несоблюдения критериев качества.
На данный момент есть 3 нерешенных вопроса в финальных тестовых сборках, классифицируемых как Release Lock, около проблема с OpenSSL упоминается следующее:
Это влияет на общие конфигурации, и они также могут быть уязвимы. Примеры включают значительное раскрытие содержимого памяти сервера (возможно раскрытие сведений о пользователе), уязвимости, которые можно легко использовать удаленно для компрометации закрытых ключей сервера, или когда удаленное выполнение кода считается вероятным в обычных ситуациях. Эти проблемы будут храниться в тайне и приведут к новой версии всех поддерживаемых версий. Мы постараемся решить их как можно скорее.
О критической уязвимости в OpenSSL, упоминается, что это влияет только на ветку 3.0.x, поэтому версии 1.1.1x не затрагиваются. Проблема еще и в том, что ветка OpenSSL 3.0 уже используется в таких дистрибутивах, как Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable.
В SUSE Linux Enterprise 15 SP4 и openSUSE Leap 15.4 пакеты с OpenSSL 3.0 доступны как опция, системные пакеты используют ветку 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 остаются в ветках OpenSSL 1.x.
Уязвимость классифицируется как критическая, Подробности пока не сообщаются, но по серьезности проблема близка к нашумевшей уязвимости Heartbleed. Критический уровень опасности подразумевает возможность удаленной атаки на типовые конфигурации. Критические проблемы можно классифицировать как проблемы, которые приводят к утечке памяти удаленного сервера, выполнению кода злоумышленника или компрометации закрытого ключа сервера. Исправление OpenSSL 3.0.7, устраняющее проблему а информация о характере уязвимости будет опубликована 1 ноября.
Помимо необходимости исправления уязвимости в openssl, составной менеджер kwin зависает при запуске сеанса KDE Plasma на основе Wayland если в UEFI установлено значение nomodeset (базовая графика), это происходит из-за того, что simpledrm неправильно объявляет 10-битные форматы пикселей в родных 8-битных буферах кадров.
Другая проблема что представлено, находится в приложении gnome-календарь зависает при редактировании повторяющихся событий и заключается в том, что когда добавляется повторяющееся событие, которое распространяется еженедельно до определенной даты в будущем, то есть на несколько недель, его больше нельзя редактировать или удалять. Это приводит к тому, что любая попытка открыть событие замораживает приложение и вызывает диалоговое окно «Принудительный выход», которое в конечном итоге необходимо использовать для выхода из приложения.
В конце концов если вам интересно узнать об этом больше, вы можете проверить подробности в по следующей ссылке.