The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Fedora 37 отложен на две недели из-за критической уязвимости в OpenSSL

28.10.2022 08:19

Разработчики проекта Fedora объявили о переносе релиза Fedora 37 на 15 ноября в связи с необходимостью устранения критической уязвимости в библиотеке OpenSSL. Так как данные о сути уязвимости будут раскрыты только 1 ноября и непонятно сколько времени потребуется для реализации защиты в дистрибутиве решено отложить выпуск на 2 недели. Это не первый перенос сроков - изначально релиз Fedora 37 ожидался 18 октября, но два раза был перенесён (на 25 октября и 1 ноября) из-за невыполнения критериев качества.

В настоящее время в финальных тестовых сборках остаются неисправленными 3 проблемы, которые отнесены к блокирующим выпуск. Помимо необходимости устранения уязвимости в openssl, упоминается зависание композитного менеджера kwin при запуске сеанса KDE Plasma на базе Wayland при выставлении режима nomodeset (базовая графика) в UEFI и зависание приложения gnome-calendar при редактировании повторяющихся событий.

Критическая уязвимость в OpenSSL затрагивает только ветку 3.0.x, выпуски OpenSSL 1.1.1x, а также ответвившиеся от OpenSSL библиотеки LibreSSL и BoringSSL, уязвимости не подвержены. Ветка OpenSSL 3.0 уже используется в таких дистрибутивах, как Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. В SUSE Linux Enterprise 15 SP4 и openSUSE Leap 15.4 пакеты с OpenSSL 3.0 доступны опционально, системные пакеты используют ветку 1.1.1. На ветках OpenSSL 1.x остаются Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16.

Уязвимость отнесена к категории критических, подробности пока не сообщаются, но по уровню опасности проблема близка к нашумевшей уязвимости Heartbleed. Критический уровень опасности подразумевает возможность совершения удалённой атаки на типовые конфигурации. К критическим могут быть отнесены проблемы приводящие к удалённым утечкам содержимого памяти сервера, выполнению кода атакующего или компрометации серверных закрытых ключей. Исправление OpenSSL 3.0.7 с устранением проблемы и информация о сути уязвимости будет опубликована 1 ноября.

  1. Главная ссылка к новости (https://fedoramagazine.org/fed...)
  2. OpenNews: В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей
  3. OpenNews: Опубликован прототип эксплоита для Heartbleed-уязвимости в OpenSSL
  4. OpenNews: Heartbleed-уязвимость в OpenSSL могла эксплуатироваться с ноября прошлого года
  5. OpenNews: Уязвимость в Cloudflare привела к утечке конфиденциальной информации клиентов
  6. OpenNews: Дистрибутив Fedora Linux 37 перешёл на стадию бета-тестирования
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/57996-fedora
Ключевые слова: fedora, openssl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (61) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, ryoken (ok), 08:45, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Как уже писал в другую ветку - все на RawHide!!! :D
     
     
  • 2.3, Michael Shigorin (ok), 09:03, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• –26 +/
    ...и пусть никто не уйдёт? :D
     
  • 2.11, Аноним (11), 10:14, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Критическая уязвимость в OpenSSL затрагивает только ветку 3.0.x, выпуски 1.1.1x уязвимости не подвержены.

    Сидим на старых версиях.

     

  • 1.4, пох. (?), 09:05, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    странно, чегой-та они? Любители обмазываться наисвежайшим должны же ж страдать?!

     
     
  • 2.7, лютый жабби.... (?), 09:19, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    ни арч, ни воид не подвержены. вот неожиданность-то? а мегаштабильная убунточка упс, упс... оказывается роллинг не так уж и плохо, хотя вам крикунам лишь бы повозмущаться
     
     
  • 3.20, Аноним (20), 11:10, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Да этож не Убунта, а Федорино горе.
     
  • 3.24, Аноним (24), 12:10, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    >ни арч, ни воид не подвержены. вот неожиданность-то? а мегаштабильная убунточка упс, упс... оказывается роллинг не так уж и плохо, хотя вам крикунам лишь бы повозмущаться

    А прочитать полностью новость про то, что роллинг тут совершенно не при чем и исправления не существует даже в апстриме слишком сложно?

     
  • 3.57, пох. (?), 09:27, 29/10/2022 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Чего неожиданного в том что дро-ры на свежачок оказались не в состоянии скомпилить свою свалку с несовместимой версией и ждут не дождутся пока федора за них сделает патчи?

    А в убунточке еще есть те кто за зарплату, насяльника сказала, пацаны запилили. Просто рачешколие не осилило оттуда скопипастить, ждут удобный и понятный им rpm для образца.

    > оказывается роллинг не так уж и плохо

    когда он оказывается не роллинг нифига и сидит на нимодна-устаревшим-мамонтавом этомсамом?

    Да, молодцы, конечно. Спасли человечество от слишком новых версий софта. Только не заливай нам тут что это они потому что догадывались о том что код мягко говоря не очень. Просто не осилили.

     
  • 2.13, n00by (ok), 10:19, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    > Любители обмазываться наисвежайшим должны же ж страдать?!

    «Свеженькое» - это не Федора, а «офедореный» форк Мандривы. Это официальное наименование. :)

     
     
  • 3.32, mmm (??), 14:57, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Это Роса? Свежее Федоры? А что она так не популярна у себя на родине?
     
     
  • 4.37, Аноним (37), 15:52, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    там васян шалит
     
  • 4.55, n00by (ok), 07:18, 29/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Потому что у них «есть такое очень простое правило. Никогда не делай добро для людей, люди - неблагодарные свиньи». Кстати, они официально его признали недавно. Ну и врут много, в т.ч. сравнивая себя с Федорой, будто бы трендовые иконки и операционную систему адекватно ставить в один ряд.
     

  • 1.5, Аноним (5), 09:07, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    Федорино горе
     
     
  • 2.8, Аноним (11), 10:02, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    можно ли улучшить ситуацию, перейдя на другой современный язык? называть не могу - тут запрещено...
     
     
  • 3.17, пох. (?), 10:49, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Конечно можно! Нет кода - нет уязвимостей. От CoC.md никто еще не пострадал.

     
     
  • 4.23, Аноним (23), 12:07, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Java Secure Socket Extension
     
  • 2.31, Без аргументов (?), 13:48, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Сотрудник RedHat Кристофер Негус в книге "Библия Linux, 10-е издание":
    "Fedora в большей степени фокусируется на новейших технологиях и в меньшей — на стабильности. Поэтому могут понадобиться дополнительные действия, чтобы вся система и ее программное обеспечение заработали. ...
    Fedora представляет собой испытательный полигон для Red Hat Enterprise
    Linux. Red Hat тестирует множество новых приложений в Fedora, прежде чем
    добавить их в RHEL."
     
     
  • 3.61, Аноним (61), 21:23, 29/10/2022 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    У fedora есть тестовые репозитории и бета версии в которых происходит тестирование, то что наработки из этого дистрибутива переносятся в rhel, у которого в свою очередь так же есть тестовые версии, не говорит о том что fedora нестабильный дистрибутив, на что вы пытаетесь намекнуть, если вы не понял проблема в статье как раз касается бета версии.
     
  • 3.66, Аноним (66), 13:28, 31/10/2022 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Меньший фокус на стабильности — не «нестабильность». Практика использования Fedora на десктопе показывает, что это едва ли не единственная ОС, сочетающая в себе актуальное ПО и работоспособность системы в целом.

    «Испытательный полигон» — это клеймо недалёкости на авторе утверждения. Зарекомендовавшие себя наилучшим образом решения, принимаемые RHEL из Fedora, это поиск оптимума между инновациями и возможностью выпуска дистрибутива для промышленного применения.

    В упомянутой «Библии Linux» Fedora упоминается 400 с лишним раз. Ubuntu – около 70. Mint – 7 раз. Arch – 0.

     
     
  • 4.70, n00by (ok), 07:51, 01/11/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    > «Испытательный полигон» — это клеймо недалёкости на авторе утверждения.

    Интересный вывод. Не хочу с ним спорить. Видел это заявление много раз от местных деятелей, они любят проводить аналогии меж RH и собою. При этом их там десяток разработчиков на диалекте баш, в отличие от Шапки, но есть свои «полигон» и «продукт».

     

  • 1.6, xuniL (?), 09:15, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Щетай на месяц отложили: должно было быть 18, а обещают 15 след. месяца.
     
     
  • 2.38, Аноним (37), 15:53, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    тебе никто ничего не должен
     
     
  • 3.71, Алексей Киселёв (?), 23:36, 02/11/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    в такой случае, тебе тоже, решай свои проблемы сам
     

  • 1.9, n00by (ok), 10:08, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    > выпуски 1.1.1x уязвимости не подвержены

    Литера в конце версии важна. По ссылке из новости речь о 1.1.1s:

    1.1.1 is not susceptible to the CVE that is being fixed in 3.0:

        /the forthcoming release of OpenSSL version 1.1.1s that is a *bug
        fix* release/.


    А вот про 1.1.1r:

    We have received a report of a significant regression in the latest
    3.0.6 and 1.1.1r versions.

    https://mta.openssl.org/pipermail/openssl-announce/2022-October/000237.html

     
     
  • 2.50, penetrator (?), 21:27, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    вот только в 36-ой Федоре испоульзуется 3.0.5
     
     
  • 3.56, n00by (ok), 07:48, 29/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Новость про 37-ю Федору. Наверное, там планировалась версия 3.0.6, то есть уязвимая, как и некоторые из 1.1.1x.
     
     
  • 4.59, Аноним (59), 13:58, 29/10/2022 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Не похоже что планировалось, 3.0.5 даже у 38-й.
     

  • 1.10, Аноним (10), 10:12, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +5 +/
    Вместо того чтобы выпускать сырой продукт, но в срок, команда сдвигает сроки. За это можно только похвалить. Сроки - лишь условность, а качество - данность! Просто лучшие...
     
     
  • 2.12, Аноним (11), 10:16, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > Сроки - лишь условность, а качество - данность!

    Твои б слова да в уши гугла!

     
  • 2.18, Аноним (-), 10:56, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    > Сроки - лишь условность

    Даже условный срок не условность.

     
  • 2.34, Аноним (-), 15:29, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    >Вместо того чтобы выпускать сырой продукт, но в срок, команда сдвигает сроки. За это можно только похвалить.

    Демьянщик сидящий в глубукой заморозке читает твои слова с недоумением.

     
  • 2.64, Аноним (64), 07:32, 31/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Ну да, выпустить не-сырой продукт и в срок, это ж из области фантастики.
     

  • 1.14, podman (?), 10:25, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    А могли как Ubuntu и прочие – партия сказала, пионеры выпустили
     
     
  • 2.16, Айноним (?), 10:40, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    По многочисленным письмам трудящихся
     
  • 2.58, пох. (?), 09:31, 29/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Там, скорее, наоборот.
    Пыонэры начали прыгать и верещать что хотят все моднявенькое, партии пришлось быстро запиливать.

    Но в общем-то с их целевой идеей lts 10 лет они и не могут себе позволить ничего другого. Через три года 1.1.1 уже будет совсем нимодна и замучаешься бэкпортировать патчи.

    Для тех кто пока не заинтересован в обмазывании свежайшим - ну так 18.04 поддерживается и там нет и никогда не будет уже этого мусора.

     

  • 1.15, Аноним (15), 10:30, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    > Это не первый перенос сроков - изначально релиз Fedora 37 ожидался 18 октября, но два раза был перенесён (на 25 октября и 1 ноября) из-за невыполнения критериев качества.

    Надо снижать критерии качества, манагеры чё-т вообще не чешутся.

     
  • 1.19, Аноним (19), 10:57, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Ну ок, подождём.
     
  • 1.22, Аноним (22), 11:51, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    это же федора, аналог пре-альфа-testing-unstable арча. могли и так выпускать
     
     
  • 2.28, НяшМяш (ok), 13:00, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    В данном случае это оказалось хуже арча.
     

  • 1.29, anonymous (??), 13:17, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    ничего еще не ясно, может и старые уязвимы, но говорят наоборот чтобы паники не было и попыток эксплойта. 1 ноября увидим что как на самом деле.
     
  • 1.30, Aaron Grella (?), 13:31, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    А разработчики Арча вообще отказались от GNOME 43, получается для GNOME это не такой уж и роллинг, да, есть другие репы, но всё же.
    Пруф: https://bbs.archlinux.org/viewtopic.php?id=280468
    Второе сообщение
     
     
  • 2.36, Аноним (-), 15:38, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Просто они сходу не смогли скопилять, как скомпилится без ошибок тогда и кинут свежак ГНОМа с репу.
     
  • 2.46, Анонимушка (?), 18:30, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Ой, отказались так отказались... https://archlinux.org/packages/testing/x86_64/gnome-shell/
     
     
  • 3.72, Aaron Grella (?), 02:28, 09/11/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Боже, тогда не было обновлено, сам мейнер сказал, что не будет 43 версии, но они решили проблемы компиляции.
     

  • 1.40, Ананоним (?), 16:33, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Никогда такого не было, и вот опять!
     
     
  • 2.41, Аноним (41), 16:59, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Лучше когда находят (довольно оперативно, в мой роллинг-релиз дистрибутив, видимо, даже не попало, ни с одной ни со второй веткой), или когда не находят? Если будешь не как все, то не найдут. Но толку от этого? Фрагментация конечно с одной стороны уменьшает вектор атаки, но с другой, заботиться о качестве становится сложнее с падением числа потребителей.
     
     
  • 3.42, Аноним (42), 17:16, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Лучше когда не багают
     

  • 1.45, Аноним (45), 18:25, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Ставлю 20$, что опять ненастоящий сишник прогал и обычную лажу, которую даже статический анализ поймает напорол.
     
     
  • 2.47, Аноним (11), 19:09, 28/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    > опять ненастоящий сишник

    зато настоящие растаманы... ой... забыли про редох...

     

  • 1.48, Аноним (59), 20:20, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Уязвимость OpenSSL далеко не главная причина, просто хотят выпустить релиз в kernel 6.0 !)
     
     
  • 2.69, bootsector (?), 23:11, 31/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Так оно уже в 36ю провалилось.
     

  • 1.49, Аноним (49), 20:48, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Перенимают опыт дебиана по замене граблей на противопехотные мины?
     
  • 1.51, Ivan_83 (ok), 22:18, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    LibreSSL опять показывает свою актуальность :)
     
     
  • 2.65, Аноним (64), 07:34, 31/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Шутки шутками, а LibreSSL реально не имеет данной уязвимости — это было озвучено в oss-security@.
     

  • 1.52, Golangdev (?), 22:35, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Всё хорошо, правильно делают, над&чивание на сроки никогда ни к чему хорошему не приводило. Пусть спокойно работают и делают что должны.
     
  • 1.53, Шарп (ok), 23:48, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Небось опять сишка обделалась с управлением памятью. Rust.
     
     
  • 2.54, Аноним (11), 06:30, 29/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    > Rust

    Увы, редох глубоко заброшен в дальний угол.

     

  • 1.62, DEF (?), 09:51, 30/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Я разработчик Fedora. В качестве компенсации за ожидание мы включим обновленные пакеты: Linux 6.0, GNOME 43.1, Firefox 106, Python 3.11 и многое другое.
     
     
  • 2.63, Аноним (59), 12:39, 30/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Нет никакой необходимости ждать, кто хотел, давно на 37. А "Linux 6.0" зря, надо не новее 5.18, пока там всё не переломали с cpufreq )
     
  • 2.67, Аноним (67), 14:39, 31/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    На Fedora 36 вчера 6.0.5 поступило.
     
  • 2.68, Аноним (67), 14:52, 31/10/2022 [^] [^^] [^^^] [ответить]  
    		• +/
    Какую этим нахлебникам ещё компенсацию?.. )) Обойдутся. Пусть радуются, что толковый дистрибутив делаете.

    Поскольку Fedora - наиболее удачная ОС для десктопов, добавьте некий аналог Punto Switcher для того большинства, которое при наборе смотрит в клавиатуру.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру