Zaradi nekaterih težav s stabilnostjo in varnostjo je izdaja Fedore 37 znova odložena
Pred kratkim je razvijalci projekta Fedora so napovedali preložitev izdaje Fedora 37, ki naj bi bil izdan 18. oktobra, vendar je bil zaradi varnostnih težav novi datum izida prestavljen na 15. november, kot že omenjeno, zaradi potrebe po popravku kritične ranljivosti v knjižnici OpenSSL.
Ker podatki o bistvu ranljivost bo razkrita šele 1. novembra in ni jasno, koliko časa bo trajalo uveljavitev zaščite pri distribuciji je bilo odločeno, da se izdaja preloži za 2 tedna.
Zaradi izjemnih hroščev pri zrušitvah[1] je bil F37 Final Release Candidate 3 razglašen za NO-GO. Zaradi prihajajočega kritičnega razkritja ranljivosti OpenSSL bomo naslednji ciljni datum premaknili za en teden naprej.
Naslednje končno srečanje Fedora Linux 37 Go/No-Go[3] bo potekalo ob 1700 UTC v četrtek, 10. novembra, na #fedora-meeting. Ciljali bomo na mejnik »ciljnega datuma št. 3« 15. novembra. Urnik izdaj je bil ustrezno posodobljen.
To ni prvič, da je bila izdaja Fedore prestavljena. 37 za 18. oktober, vendar je bil dvakrat preložen (na 25. oktober in 1. november) zaradi neizpolnjevanja meril kakovosti.
Trenutno obstajajo 3 nerešene težave v končnem preizkusu gradenj, ki so razvrščene kot sprostitvena ključavnica, približno težava z OpenSSL omenjeno je naslednje:
To vpliva na pogoste konfiguracije in jih je verjetno tudi mogoče izkoristiti. Primeri vključujejo znatno razkritje vsebine pomnilnika strežnika (ki bi lahko razkrilo podrobnosti o uporabniku), ranljivosti, ki jih je mogoče enostavno izkoristiti na daljavo za ogrožanje zasebnih ključev strežnika, ali kjer je oddaljeno izvajanje kode verjetno v običajnih situacijah. Te težave bodo ostale zasebne in povzročile bodo novo različico vseh podprtih različic. Poskušali jih bomo rešiti v najkrajšem možnem času.
O kritični ranljivosti v OpenSSL, omenjeno je, da to vpliva samo na vejo 3.0.x, tako da različice 1.1.1x niso prizadete. Težava je tudi v tem, da se veja OpenSSL 3.0 že uporablja v distribucijah, kot so Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable.
V SUSE Linux Enterprise 15 SP4 in openSUSE Leap 15.4 so paketi z OpenSSL 3.0 na voljo kot možnost, sistemski paketi uporabljajo vejo 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 ostajajo v vejah OpenSSL 1.x.
Ranljivost je razvrščena kot kritična, Podrobnosti še niso bile objavljene, vendar je po resnosti težava blizu senzacionalni ranljivosti Heartbleed. Kritična stopnja nevarnosti pomeni možnost oddaljenega napada na tipične konfiguracije. Kritične težave je mogoče razvrstiti kot težave, ki vodijo do puščanja pomnilnika oddaljenega strežnika, izvajanja kode napadalca ali ogrožanja zasebnega ključa strežnika. Popravek OpenSSL 3.0.7, ki odpravlja težavo informacije o naravi ranljivosti pa bodo objavljene 1. novembra.
Poleg tega, da je treba odpraviti ranljivost v openssl, kwin Composite Manager zamrzne ob zagonu seje KDE Plasma, ki temelji na Waylandu ko je v UEFI nastavljen na nomodeset (osnovna grafika), se to zgodi, ker simpledrm nepravilno oglašuje 10-bitne oblike slikovnih pik v izvirnih 8-bitnih medpomnilnikih okvirjev.
Drugi problem ki je predstavljen, je v aplikaciji gnome-calendar zamrzne pri urejanju ponavljajočih se dogodkov in to je, da ko je dodan ponavljajoči se dogodek, ki traja tedensko do določenega datuma v prihodnosti, torej več tednov, ga ni več mogoče urejati ali brisati. To povzroči, da vsak poskus odpiranja dogodka zamrzne aplikacijo in odpre pogovorno okno »Prisilno zapusti«, ki ga je treba na koncu uporabiti za izhod iz aplikacije.
Končno če vas zanima več o tem, podrobnosti lahko preverite v naslednjo povezavo.