The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Fedora 37 отложен на две недели из-за критической уязвимости в OpenSSL

28.10.2022 08:19

Разработчики проекта Fedora объявили о переносе релиза Fedora 37 на 15 ноября в связи с необходимостью устранения критической уязвимости в библиотеке OpenSSL. Так как данные о сути уязвимости будут раскрыты только 1 ноября и непонятно сколько времени потребуется для реализации защиты в дистрибутиве решено отложить выпуск на 2 недели. Это не первый перенос сроков - изначально релиз Fedora 37 ожидался 18 октября, но два раза был перенесён (на 25 октября и 1 ноября) из-за невыполнения критериев качества.

В настоящее время в финальных тестовых сборках остаются неисправленными 3 проблемы, которые отнесены к блокирующим выпуск. Помимо необходимости устранения уязвимости в openssl, упоминается зависание композитного менеджера kwin при запуске сеанса KDE Plasma на базе Wayland при выставлении режима nomodeset (базовая графика) в UEFI и зависание приложения gnome-calendar при редактировании повторяющихся событий.

Критическая уязвимость в OpenSSL затрагивает только ветку 3.0.x, выпуски OpenSSL 1.1.1x, а также ответвившиеся от OpenSSL библиотеки LibreSSL и BoringSSL, уязвимости не подвержены. Ветка OpenSSL 3.0 уже используется в таких дистрибутивах, как Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable. В SUSE Linux Enterprise 15 SP4 и openSUSE Leap 15.4 пакеты с OpenSSL 3.0 доступны опционально, системные пакеты используют ветку 1.1.1. На ветках OpenSSL 1.x остаются Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16.

Уязвимость отнесена к категории критических, подробности пока не сообщаются, но по уровню опасности проблема близка к нашумевшей уязвимости Heartbleed. Критический уровень опасности подразумевает возможность совершения удалённой атаки на типовые конфигурации. К критическим могут быть отнесены проблемы приводящие к удалённым утечкам содержимого памяти сервера, выполнению кода атакующего или компрометации серверных закрытых ключей. Исправление OpenSSL 3.0.7 с устранением проблемы и информация о сути уязвимости будет опубликована 1 ноября.

 
  1. Главная ссылка к новости (https://fedoramagazine.org/fed...)
  2. OpenNews: В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей
  3. OpenNews: Опубликован прототип эксплоита для Heartbleed-уязвимости в OpenSSL
  4. OpenNews: Heartbleed-уязвимость в OpenSSL могла эксплуатироваться с ноября прошлого года
  5. OpenNews: Уязвимость в Cloudflare привела к утечке конфиденциальной информации клиентов
  6. OpenNews: Дистрибутив Fedora Linux 37 перешёл на стадию бета-тестирования
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/57996-fedora
Ключевые слова: fedora, openssl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (61) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, ryoken (ok), 08:45, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
    		• +2 +/
    Как уже писал в другую ветку - все на RawHide!!! :D
     
     
  • 2.3, Michael Shigorin (ok), 09:03, 28/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• –26 +/
    ...и пусть никто не уйдёт? :D
     
  • 2.11, Аноним (11), 10:14, 28/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +1 +/
    > Критическая уязвимость в OpenSSL затрагивает только ветку 3.0.x, выпуски 1.1.1x уязвимости не подвержены.

    Сидим на старых версиях.

     

  • 1.4, пох. (?), 09:05, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
    		• –2 +/
    странно, чегой-та они? Любители обмазываться наисвежайшим должны же ж страдать?!

     
     
  • 2.7, лютый жабби.... (?), 09:19, 28/10/2022 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +1 +/
    ни арч, ни воид не подвержены. вот неожиданность-то? а мегаштабильная убунточка упс, упс... оказывается роллинг не так уж и плохо, хотя вам крикунам лишь бы повозмущаться
     
     
  • 3.20, Аноним (20), 11:10, 28/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Да этож не Убунта, а Федорино горе.
     
  • 3.24, Аноним (24), 12:10, 28/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +4 +/
    >ни арч, ни воид не подвержены. вот неожиданность-то? а мегаштабильная убунточка упс, упс... оказывается роллинг не так уж и плохо, хотя вам крикунам лишь бы повозмущаться

    А прочитать полностью новость про то, что роллинг тут совершенно не при чем и исправления не существует даже в апстриме слишком сложно?

     
  • 3.57, пох. (?), 09:27, 29/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• –1 +/
    Чего неожиданного в том что дро-ры на свежачок оказались не в состоянии скомпилить свою свалку с несовместимой версией и ждут не дождутся пока федора за них сделает патчи?

    А в убунточке еще есть те кто за зарплату, насяльника сказала, пацаны запилили. Просто рачешколие не осилило оттуда скопипастить, ждут удобный и понятный им rpm для образца.

    > оказывается роллинг не так уж и плохо

    когда он оказывается не роллинг нифига и сидит на нимодна-устаревшим-мамонтавом этомсамом?

    Да, молодцы, конечно. Спасли человечество от слишком новых версий софта. Только не заливай нам тут что это они потому что догадывались о том что код мягко говоря не очень. Просто не осилили.

     
  • 2.13, n00by (ok), 10:19, 28/10/2022 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +/
    > Любители обмазываться наисвежайшим должны же ж страдать?!

    «Свеженькое» - это не Федора, а «офедореный» форк Мандривы. Это официальное наименование. :)

     
     
  • 3.32, mmm (??), 14:57, 28/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Это Роса? Свежее Федоры? А что она так не популярна у себя на родине?
     
     
  • 4.37, Аноним (37), 15:52, 28/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    там васян шалит
     
  • 4.55, n00by (ok), 07:18, 29/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Потому что у них «есть такое очень простое правило. Никогда не делай добро для людей, люди - неблагодарные свиньи». Кстати, они официально его признали недавно. Ну и врут много, в т.ч. сравнивая себя с Федорой, будто бы трендовые иконки и операционную систему адекватно ставить в один ряд.
     

  • 1.5, Аноним (5), 09:07, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
    		• +3 +/
    Федорино горе
     
     
  • 2.8, Аноним (11), 10:02, 28/10/2022 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +1 +/
    можно ли улучшить ситуацию, перейдя на другой современный язык? называть не могу - тут запрещено...
     
     
  • 3.17, пох. (?), 10:49, 28/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +2 +/
    Конечно можно! Нет кода - нет уязвимостей. От CoC.md никто еще не пострадал.

     
     
  • 4.23, Аноним (23), 12:07, 28/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Java Secure Socket Extension
     
  • 2.31, Без аргументов (?), 13:48, 28/10/2022 [^] [^^] [^^^] [ответить]  []     [к модератору]
    		• +/
    Сотрудник RedHat Кристофер Негус в книге "Библия Linux, 10-е издание":
    "Fedora в большей степени фокусируется на новейших технологиях и в меньшей — на стабильности. Поэтому могут понадобиться дополнительные действия, чтобы вся система и ее программное обеспечение заработали. ...
    Fedora представляет собой испытательный полигон для Red Hat Enterprise
    Linux. Red Hat тестирует множество новых приложений в Fedora, прежде чем
    добавить их в RHEL."
     
     
  • 3.61, Аноним (61), 21:23, 29/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +1 +/
    У fedora есть тестовые репозитории и бета версии в которых происходит тестирование, то что наработки из этого дистрибутива переносятся в rhel, у которого в свою очередь так же есть тестовые версии, не говорит о том что fedora нестабильный дистрибутив, на что вы пытаетесь намекнуть, если вы не понял проблема в статье как раз касается бета версии.
     
  • 3.66, Аноним (66), 13:28, 31/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +1 +/
    Меньший фокус на стабильности — не «нестабильность». Практика использования Fedora на десктопе показывает, что это едва ли не единственная ОС, сочетающая в себе актуальное ПО и работоспособность системы в целом.

    «Испытательный полигон» — это клеймо недалёкости на авторе утверждения. Зарекомендовавшие себя наилучшим образом решения, принимаемые RHEL из Fedora, это поиск оптимума между инновациями и возможностью выпуска дистрибутива для промышленного применения.

    В упомянутой «Библии Linux» Fedora упоминается 400 с лишним раз. Ubuntu – около 70. Mint – 7 раз. Arch – 0.

     
     
  • 4.70, n00by (ok), 07:51, 01/11/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    > «Испытательный полигон» — это клеймо недалёкости на авторе утверждения.

    Интересный вывод. Не хочу с ним спорить. Видел это заявление много раз от местных деятелей, они любят проводить аналогии меж RH и собою. При этом их там десяток разработчиков на диалекте баш, в отличие от Шапки, но есть свои «полигон» и «продукт».

     

  • 1.6, xuniL (?), 09:15, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
    		• +1 +/
    Щетай на месяц отложили: должно было быть 18, а обещают 15 след. месяца.
     
     
  • 2.38, Аноним (37), 15:53, 28/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• –2 +/
    тебе никто ничего не должен
     
     
  • 3.71, Алексей Киселёв (?), 23:36, 02/11/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    в такой случае, тебе тоже, решай свои проблемы сам
     

  • 1.9, n00by (ok), 10:08, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
    		• +2 +/
    > выпуски 1.1.1x уязвимости не подвержены

    Литера в конце версии важна. По ссылке из новости речь о 1.1.1s:

    1.1.1 is not susceptible to the CVE that is being fixed in 3.0:

        /the forthcoming release of OpenSSL version 1.1.1s that is a *bug
        fix* release/.


    А вот про 1.1.1r:

    We have received a report of a significant regression in the latest
    3.0.6 and 1.1.1r versions.

    https://mta.openssl.org/pipermail/openssl-announce/2022-October/000237.html

     
     
  • 2.50, penetrator (?), 21:27, 28/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    вот только в 36-ой Федоре испоульзуется 3.0.5
     
     
  • 3.56, n00by (ok), 07:48, 29/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Новость про 37-ю Федору. Наверное, там планировалась версия 3.0.6, то есть уязвимая, как и некоторые из 1.1.1x.
     
     
  • 4.59, Аноним (59), 13:58, 29/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +1 +/
    Не похоже что планировалось, 3.0.5 даже у 38-й.
     

  • 1.10, Аноним (10), 10:12, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
    		• +5 +/
    Вместо того чтобы выпускать сырой продукт, но в срок, команда сдвигает сроки. За это можно только похвалить. Сроки - лишь условность, а качество - данность! Просто лучшие...
     
     
  • 2.12, Аноним (11), 10:16, 28/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +1 +/
    > Сроки - лишь условность, а качество - данность!

    Твои б слова да в уши гугла!

     
  • 2.18, Аноним (-), 10:56, 28/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    > Сроки - лишь условность

    Даже условный срок не условность.

     
  • 2.34, Аноним (-), 15:29, 28/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    >Вместо того чтобы выпускать сырой продукт, но в срок, команда сдвигает сроки. За это можно только похвалить.

    Демьянщик сидящий в глубукой заморозке читает твои слова с недоумением.

     
  • 2.64, Аноним (64), 07:32, 31/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Ну да, выпустить не-сырой продукт и в срок, это ж из области фантастики.
     

  • 1.14, podman (?), 10:25, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
    		• +/
    А могли как Ubuntu и прочие – партия сказала, пионеры выпустили
     
     
  • 2.16, Айноним (?), 10:40, 28/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    По многочисленным письмам трудящихся
     
  • 2.58, пох. (?), 09:31, 29/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Там, скорее, наоборот.
    Пыонэры начали прыгать и верещать что хотят все моднявенькое, партии пришлось быстро запиливать.

    Но в общем-то с их целевой идеей lts 10 лет они и не могут себе позволить ничего другого. Через три года 1.1.1 уже будет совсем нимодна и замучаешься бэкпортировать патчи.

    Для тех кто пока не заинтересован в обмазывании свежайшим - ну так 18.04 поддерживается и там нет и никогда не будет уже этого мусора.

     

  • 1.15, Аноним (15), 10:30, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
    		• +3 +/
    > Это не первый перенос сроков - изначально релиз Fedora 37 ожидался 18 октября, но два раза был перенесён (на 25 октября и 1 ноября) из-за невыполнения критериев качества.

    Надо снижать критерии качества, манагеры чё-т вообще не чешутся.

     
  • 1.19, Аноним (19), 10:57, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]      [к модератору]
    		• +/
    Ну ок, подождём.
     
  • 1.22, Аноним (22), 11:51, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
    		• –2 +/
    это же федора, аналог пре-альфа-testing-unstable арча. могли и так выпускать
     
     
  • 2.28, НяшМяш (ok), 13:00, 28/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• –1 +/
    В данном случае это оказалось хуже арча.
     

  • 1.29, anonymous (??), 13:17, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
    		• +/
    ничего еще не ясно, может и старые уязвимы, но говорят наоборот чтобы паники не было и попыток эксплойта. 1 ноября увидим что как на самом деле.
     
  • 1.30, Aaron Grella (?), 13:31, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
    		• +/
    А разработчики Арча вообще отказались от GNOME 43, получается для GNOME это не такой уж и роллинг, да, есть другие репы, но всё же.
    Пруф: https://bbs.archlinux.org/viewtopic.php?id=280468
    Второе сообщение
     
     
  • 2.36, Аноним (-), 15:38, 28/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +2 +/
    Просто они сходу не смогли скопилять, как скомпилится без ошибок тогда и кинут свежак ГНОМа с репу.
     
  • 2.46, Анонимушка (?), 18:30, 28/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Ой, отказались так отказались... https://archlinux.org/packages/testing/x86_64/gnome-shell/
     
     
  • 3.72, Aaron Grella (?), 02:28, 09/11/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Боже, тогда не было обновлено, сам мейнер сказал, что не будет 43 версии, но они решили проблемы компиляции.
     

  • 1.40, Ананоним (?), 16:33, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
    		• +/
    Никогда такого не было, и вот опять!
     
     
  • 2.41, Аноним (41), 16:59, 28/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Лучше когда находят (довольно оперативно, в мой роллинг-релиз дистрибутив, видимо, даже не попало, ни с одной ни со второй веткой), или когда не находят? Если будешь не как все, то не найдут. Но толку от этого? Фрагментация конечно с одной стороны уменьшает вектор атаки, но с другой, заботиться о качестве становится сложнее с падением числа потребителей.
     
     
  • 3.42, Аноним (42), 17:16, 28/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +1 +/
    Лучше когда не багают
     

  • 1.45, Аноним (45), 18:25, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
    		• +/
    Ставлю 20$, что опять ненастоящий сишник прогал и обычную лажу, которую даже статический анализ поймает напорол.
     
     
  • 2.47, Аноним (11), 19:09, 28/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    > опять ненастоящий сишник

    зато настоящие растаманы... ой... забыли про редох...

     

  • 1.48, Аноним (59), 20:20, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  [] []     [к модератору]
    		• +/
    Уязвимость OpenSSL далеко не главная причина, просто хотят выпустить релиз в kernel 6.0 !)
     
     
  • 2.69, bootsector (?), 23:11, 31/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Так оно уже в 36ю провалилось.
     

  • 1.49, Аноним (49), 20:48, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
    		• +1 +/
    Перенимают опыт дебиана по замене граблей на противопехотные мины?
     
  • 1.51, Ivan_83 (ok), 22:18, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
    		• –1 +/
    LibreSSL опять показывает свою актуальность :)
     
     
  • 2.65, Аноним (64), 07:34, 31/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Шутки шутками, а LibreSSL реально не имеет данной уязвимости — это было озвучено в oss-security@.
     

  • 1.52, Golangdev (?), 22:35, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
    		• +/
    Всё хорошо, правильно делают, над&чивание на сроки никогда ни к чему хорошему не приводило. Пусть спокойно работают и делают что должны.
     
  • 1.53, Шарп (ok), 23:48, 28/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
    		• +/
    Небось опять сишка обделалась с управлением памятью. Rust.
     
     
  • 2.54, Аноним (11), 06:30, 29/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    > Rust

    Увы, редох глубоко заброшен в дальний угол.

     

  • 1.62, DEF (?), 09:51, 30/10/2022 [ответить] [﹢﹢﹢] [ · · · ]  []     [к модератору]
    		• +1 +/
    Я разработчик Fedora. В качестве компенсации за ожидание мы включим обновленные пакеты: Linux 6.0, GNOME 43.1, Firefox 106, Python 3.11 и многое другое.
     
     
  • 2.63, Аноним (59), 12:39, 30/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Нет никакой необходимости ждать, кто хотел, давно на 37. А "Linux 6.0" зря, надо не новее 5.18, пока там всё не переломали с cpufreq )
     
  • 2.67, Аноним (67), 14:39, 31/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    На Fedora 36 вчера 6.0.5 поступило.
     
  • 2.68, Аноним (67), 14:52, 31/10/2022 [^] [^^] [^^^] [ответить]      [к модератору]
    		• +/
    Какую этим нахлебникам ещё компенсацию?.. )) Обойдутся. Пусть радуются, что толковый дистрибутив делаете.

    Поскольку Fedora - наиболее удачная ОС для десктопов, добавьте некий аналог Punto Switcher для того большинства, которое при наборе смотрит в клавиатуру.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру