Për shkak të një cenueshmërie në OpenSSL Fedora 37 u vonua dy javë, do të mbërrinte më 15 nëntor

Fedora-37

Për shkak të disa çështjeve të stabilitetit dhe sigurisë, lëshimi i Fedora 37 vonohet përsëri

Kohët e fundit, zhvilluesit e projektit Fedora njoftuan shtyrjen e lëshimit të Fedora 37, i cili ishte planifikuar të dilte më 18 tetor, por për shkak të problemeve të sigurisë, data e re e publikimit është shtyrë për 15 nëntor, kjo siç u përmend tashmë për shkak të nevojës për të korrigjuar një cenueshmëri kritike në bibliotekën OpenSSL.

Meqenëse të dhënat mbi thelbin e dobësia do të zbulohet vetëm më 1 nëntor dhe nuk është e qartë se sa kohë do të duhet për të zbatuar mbrojtjen në shpërndarje, u vendos që të shtyhet publikimi për 2 javë.

Për shkak të defekteve të jashtëzakonshme të përplasjes[1], F37 F3 Finale Release Candidate XNUMX u shpall NO-SHKO. Për shkak të zbulimit të ardhshëm kritik të cenueshmërisë OpenSSL, ne po e çojmë datën tjetër të synuar përpara me një javë.

Takimi tjetër final i Fedora Linux 37 Go/No-Go[3] do të mbahet në orën 1700 UTC të enjten, më 10 nëntor në #fedora-meeting. Ne do të synojmë arritjen e "data e synuar #3" e 15 nëntorit. Orari i lëshimit është përditësuar në përputhje me rrethanat.

Kjo nuk është hera e parë që publikimi i Fedora është riplanifikuar. 37 për 18 tetorin, por është shtyrë dy herë (për 25 tetor dhe 1 nëntor) për shkak të mosplotësimit të kritereve të cilësisë.

Aktualisht janë 3 çështje të pazgjidhura në testin përfundimtar ndërtimet që klasifikohen si bllokues lëshues, rreth problemi me OpenSSL përmendet si më poshtë:

Kjo ndikon në konfigurimet e zakonshme dhe ato gjithashtu ka të ngjarë të jenë të shfrytëzueshme. Shembujt përfshijnë zbulimin e konsiderueshëm të përmbajtjes së kujtesës së serverit (duke zbuluar potencialisht detajet e përdoruesit), dobësitë që mund të shfrytëzohen lehtësisht nga distanca për të komprometuar çelësat privatë të serverit ose ku ekzekutimi i kodit në distancë konsiderohet i mundshëm në situata të zakonshme. Këto probleme do të mbahen private dhe do të rezultojnë në një version të ri të të gjitha versioneve të mbështetura. Ne do të përpiqemi t'i zgjidhim ato sa më shpejt të jetë e mundur.

Rreth cenueshmërisë kritike në OpenSSL, përmendet se kjo prek vetëm degën 3.0.x, kështu që versionet 1.1.1x nuk preken. Problemi është gjithashtu se dega OpenSSL 3.0 përdoret tashmë në shpërndarje si Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, ​​Debian Testing/Unstable.

Në SUSE Linux Enterprise 15 SP4 dhe openSUSE Leap 15.4, paketat me OpenSSL 3.0 janë të disponueshme si opsion, paketat e sistemit përdorin degën 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 mbeten në degët OpenSSL 1.x.

Cenueshmëria klasifikohet si kritike, Detaje nuk janë raportuar ende, por për nga ashpërsia, çështja është afër cenueshmërisë së bujshme Heartbleed. Niveli kritik i rrezikut nënkupton mundësinë e një sulmi në distancë në konfigurimet tipike. Çështjet kritike mund të klasifikohen si çështje që çojnë në rrjedhje të kujtesës së serverit në distancë, ekzekutim të kodit të sulmuesit ose kompromis të çelësit privat të serverit. Rregullimi OpenSSL 3.0.7 që rregullon problemin dhe informacioni mbi natyrën e cenueshmërisë do të publikohet më 1 nëntor.

Përveç nevojës për të rregulluar një cenueshmëri në openssl, Menaxheri i përbërë kwin ngrin kur fillon një sesion KDE Plasma bazuar në Wayland kur vendoset në nomodeset (grafika bazë) në UEFI, kjo ndodh sepse simpledrm reklamon gabimisht formatet e pikselave 10-bit në buferat e kornizës 8-bit.

Problemi tjetër që është paraqitur, është në aplikacion gnome-calendar ngrin kur redaktoni ngjarje të përsëritura dhe është se kur shtohet një ngjarje e përsëritur që zgjat çdo javë deri në një datë të caktuar në të ardhmen, pra për disa javë, ajo nuk mund të redaktohet ose fshihet më. Kjo çon në çdo përpjekje për të hapur ngjarjen duke ngrirë aplikacionin dhe duke shfaqur një dialog "Force Quit" i cili duhet të përdoret përfundimisht për të dalë nga aplikacioni.

Më në fund nëse jeni të interesuar të dini më shumë për të, ju mund të kontrolloni detajet në lidhja e mëposhtme.


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.