Debido a una vulnerabilidad en OpenSSL Fedora 37 se retrasó dos semanas, estaría llegando el 15 de noviembre
Hace poco los desarrolladores del proyecto Fedora anunciaron el aplazamiento del lanzamiento de Fedora 37, el cual estaba previsto para ser lanzado el 18 de octubre, pero dado a unos problemas de seguridad, la nueva fecha de lanzamiento se ha aplazado para el 15 de noviembre, esto como ya se mencionó debido a la necesidad de corregir una vulnerabilidad crítica en la biblioteca OpenSSL.
Dado que los datos sobre la esencia de la vulnerabilidad se divulgarán solo el 1 de noviembre y no está claro cuánto tiempo llevará implementar la protección en la distribución, se decidió posponer el lanzamiento por 2 semanas.
Debido a errores de bloqueo sobresalientes[1], F37 Final Release Candidate 3 fue declarado NO-GO. Debido a la próxima vulnerabilidad crítica de OpenSSL divulgación, estamos adelantando la próxima fecha objetivo una semana.
La próxima reunión final Go/No-Go de Fedora Linux 37[3] se llevará a cabo en 1700 UTC el jueves 10 de noviembre en #fedora-meeting. Apuntaremos a el hito de la «fecha objetivo #3» del 15 de noviembre. El calendario de lanzamiento se ha actualizado en consecuencia.
Esta no es la primera vez que se reprograma el lanzamiento de Fedora 37 para el 18 de octubre, pero se retrasó dos veces (al 25 de octubre y al 1 de noviembre) debido a que no se cumplieron los criterios de calidad.
Actualmente hay 3 problemas sin solucionar en las versiones de prueba finales que se clasifican como bloqueo de la versión, sobre el problema con OpenSSL se menciona lo siguiente:
Esto afecta a las configuraciones comunes y que también es probable que sean explotables. Los ejemplos incluyen la divulgación significativa del contenido de la memoria del servidor (potencialmente revelando detalles del usuario), vulnerabilidades que pueden explotarse fácilmente de forma remota para comprometer las claves privadas del servidor o donde la ejecución remota de código se considera probable en situaciones comunes. Estos problemas se mantendrán en privado y darán lugar a una nueva versión de todas las versiones compatibles. Intentaremos solucionarlos lo antes posible.
Sobre la vulnerabilidad crítica en OpenSSL, se menciona que esta solo afecta a la rama 3.0.x, por lo que las versiones 1.1.1x no se ven afectadas. El problema radica tambien en que la rama OpenSSL 3.0 ya se usa en distribuciones como Ubuntu 22.04, CentOS Stream 9, RHEL 9, OpenMandriva 4.2, Gentoo, Fedora 36, Debian Testing/Unstable.
En SUSE Linux Enterprise 15 SP4 y openSUSE Leap 15.4, los paquetes con OpenSSL 3.0 están disponibles como opción, los paquetes del sistema usan la rama 1.1.1. Debian 11, Arch Linux, Void Linux, Ubuntu 20.04, Slackware, ALT Linux, RHEL 8, OpenWrt, Alpine Linux 3.16 permanecen en las ramas de OpenSSL 1.x.
La vulnerabilidad está clasificada como crítica, aún no se han informado los detalles, pero en términos de gravedad, el problema se acerca a la sensacional vulnerabilidad Heartbleed. El nivel crítico de peligro implica la posibilidad de un ataque remoto a configuraciones típicas. Los problemas críticos se pueden clasificar como problemas que conducen a fugas de memoria del servidor remoto, ejecución de código de atacante o compromiso de claves privadas del servidor. La corrección de OpenSSL 3.0.7 que soluciona el problema y la información sobre la naturaleza de la vulnerabilidad se publicarán el 1 de noviembre.
Además de la necesidad de corregir una vulnerabilidad en openssl, el administrador compuesto de kwin se congela al iniciar una sesión de KDE Plasma basada en Wayland cuando se establece en nomodeset (gráficos básicos) en UEFI, esto sucede debido a que simpledrm anuncia incorrectamente formatos de píxeles de 10 bits en búferes de cuadros nativos de 8 bits.
El otro problema que se presenta, es en la aplicación gnome-calendar se congela al editar eventos recurrentes y es que cuando se agrega un evento recurrente que se extiende semanalmente hasta una fecha determinada en el futuro, es decir, durante varias semanas, ya no se puede editar ni eliminar. Esto lleva a que cualquier intento de abrir el evento congela la aplicación y aparece un cuadro de diálogo «Forzar salida» que eventualmente debe usarse para salir de la aplicación.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.