Do một số vấn đề về tính ổn định và bảo mật, việc phát hành Fedora 37 lại bị trì hoãn
Gần đây các nhà phát triển của dự án Fedora thông báo hoãn phát hành Fedora 37, được lên kế hoạch phát hành vào ngày 18 tháng 15, nhưng do các vấn đề bảo mật, ngày phát hành mới đã bị hoãn lại đến ngày XNUMX tháng XNUMX, điều này như đã được đề cập do cần phải sửa một lỗ hổng nghiêm trọng trong thư viện OpenSSL.
Vì dữ liệu về bản chất của lỗ hổng bảo mật sẽ chỉ được tiết lộ vào ngày 1 tháng XNUMX và không rõ sẽ mất bao lâu để thực hiện biện pháp bảo vệ trong phân phối, nó đã được quyết định hoãn phát hành trong 2 tuần.
Do các lỗi sự cố còn tồn tại [1], F37 Final Release Candidate 3 đã được tuyên bố là KHÔNG ĐƯỢC ĐI. Do tiết lộ lỗ hổng OpenSSL quan trọng sắp tới, chúng tôi đang dời ngày mục tiêu tiếp theo về phía trước một tuần.
Cuộc họp Fedora Linux 37 Go / No-Go cuối cùng tiếp theo [3] sẽ được tổ chức lúc 1700h10 UTC vào Thứ Năm, ngày 3 tháng 15 tại # fedora-meeting. Chúng tôi sẽ hướng tới cột mốc "ngày mục tiêu # XNUMX" là ngày XNUMX tháng XNUMX. Lịch trình phát hành đã được cập nhật cho phù hợp.
Đây không phải là lần đầu tiên việc phát hành Fedora được lên lịch lại. 37 cho ngày 18 tháng 25, nhưng bị chậm hai lần (đến ngày 1 tháng XNUMX và ngày XNUMX tháng XNUMX) do không đạt tiêu chí chất lượng.
Hiện có 3 vấn đề chưa được giải quyết trong bản dựng thử nghiệm cuối cùng được phân loại là khóa phát hành, khoảng vấn đề với OpenSSL những điều sau được đề cập:
Điều này ảnh hưởng đến các cấu hình phổ biến và chúng cũng có khả năng bị khai thác. Các ví dụ bao gồm tiết lộ đáng kể nội dung bộ nhớ máy chủ (có khả năng tiết lộ chi tiết người dùng), lỗ hổng bảo mật có thể dễ dàng bị khai thác từ xa để xâm phạm khóa riêng của máy chủ hoặc nơi có khả năng thực thi mã từ xa trong các tình huống phổ biến. Những vấn đề này sẽ được giữ kín và dẫn đến một phiên bản mới của tất cả các phiên bản được hỗ trợ. Chúng tôi sẽ cố gắng giải quyết chúng càng sớm càng tốt.
Về lỗ hổng nghiêm trọng trong OpenSSL, nó được đề cập rằng điều này chỉ ảnh hưởng đến nhánh 3.0.x, vì vậy các phiên bản 1.1.1x không bị ảnh hưởng. Vấn đề cũng là nhánh OpenSSL 3.0 đã được sử dụng trong các bản phân phối như Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing / Unstable.
Trong SUSE Linux Enterprise 15 SP4 và openSUSE Leap 15.4, các gói với OpenSSL 3.0 có sẵn như một tùy chọn, các gói hệ thống sử dụng nhánh 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 vẫn nằm trong các nhánh OpenSSL 1.x.
Lỗ hổng bảo mật được phân loại là nghiêm trọng, Thông tin chi tiết vẫn chưa được báo cáo, nhưng xét về mức độ nghiêm trọng, vấn đề gần với lỗ hổng Heartbleed giật gân. Mức độ nguy hiểm tới hạn ngụ ý khả năng bị tấn công từ xa vào các cấu hình điển hình. Các vấn đề nghiêm trọng có thể được phân loại là các vấn đề dẫn đến rò rỉ bộ nhớ máy chủ từ xa, thực thi mã của kẻ tấn công hoặc xâm phạm khóa riêng của máy chủ. Bản sửa lỗi OpenSSL 3.0.7 khắc phục sự cố và thông tin về bản chất của lỗ hổng sẽ được công bố vào ngày 1 tháng XNUMX.
Ngoài nhu cầu sửa lỗ hổng trong openssl, trình quản lý tổng hợp kwin bị đóng băng khi bắt đầu phiên KDE Plasma dựa trên Wayland khi được đặt thành nomodeset (đồ họa cơ bản) trong UEFI, điều này xảy ra vì simpledrm quảng cáo không chính xác các định dạng pixel 10-bit trong bộ đệm khung hình 8-bit gốc.
Các vấn đề khác được trình bày, nằm trong ứng dụng lịch gnome bị đóng băng khi chỉnh sửa các sự kiện lặp lại và khi một sự kiện lặp lại được thêm vào kéo dài hàng tuần cho đến một ngày nhất định trong tương lai, tức là trong vài tuần, nó sẽ không thể chỉnh sửa hoặc xóa được nữa. Điều này dẫn đến bất kỳ nỗ lực nào để mở sự kiện đóng băng ứng dụng và xuất hiện hộp thoại "Buộc thoát" cuối cùng phải được sử dụng để thoát ứng dụng.
Cuối cùng nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra các chi tiết trong liên kết sau.