News Kritischer OpenSSL-Fehler: Fedora 37 erscheint erst am 15. November

SVΞN · 28. Oktober 2022

Wie das Fedora Project erklärt hat, erscheint Fedora 37 aufgrund eines kritischen Fehlers in OpenSSL, einer Sammlung von Implementierungen der Netzwerkprotokolle und verschiedener Verschlüsselungen, erst am 15. November, nachdem das freie Betriebssystem ursprünglich bereits am 18. Oktober erscheinen sollte.

Zur News: Kritischer OpenSSL-Fehler: Fedora 37 erscheint erst am 15. November

MiG-35 · 28. Oktober 2022

Eine sehr gute Entscheidung bei Fedora und Redhat. Es gibt Hersteller die einfach raus und dann Patchen sie.

NameHere · 28. Oktober 2022

Eine gute Entscheidung!
Gibt es schon positive Nachrichten bezüglich der vaapi Geschichte?

Y-Chromosome · 28. Oktober 2022

@NameHere
Noch sehe ich keinen Build für "mesa-freeworld" auf https://koji.rpmfusion.org/koji/builds

Yumix · 28. Oktober 2022

Schade, hatte fürs verlängerte WE geplant mein System komplett neu aufzusetzen. Aktuell noch auf Fedora 35. Aber natürlich richtige Entscheidung

flaphoschi · 28. Oktober 2022

Fedora hat über die Mailingliste den Patch schon bekommen, ist aber noch nicht in den öffentlichen Repositories von OpenSSL.

Grundsätzlich wäre es besser, wenn Fedora wie Debian (oder auch Archlinux) regelmässig neue Images mit aktualisierten Paketen ausliefern würde. Fast alle Pakete enthalten Fehler und es wird Updates im Laufe des Unterstützungszeitraums dafür Fixes geben. Ein Teil könnte man umgehen, wenn man im Installer direkt Updates vom Server zieht (früher gabe dafür eine direkte Option im Installer). Das ist aber umständlich, langsam und führt zu einer Abhängigkeit vom Internet. Was bei entsprechenden Fehlern (etwa hier in OpenSSL) und kritischen System (darf temporär oder nie ins Internet) nicht vertretbar ist.

Der Untestützungszeitrum von Fedora ist natürlich kürzer, aber das verringert nur die zugrund liegenden Probleme.

PS: Ein schlimmer Fall war Windows XP, bis auf das SP1 gab es nie eine offizielle Option eine aktuelles Images zu bekommen. Im Verbund mit dem schlechten Updatemechanismus von Windows ist es bis heute ein Problem mit Windows 11. Und nach unzähligen Reboots findet es plötzlich nochmal Updates und dann wieder Updates, obwohl vorher keine angezeigt wurden.

Tenferenzu · 28. Oktober 2022

OpenSSL-Sicherheitslücke verzögert Fedora 37

@SVΞN

Besser abwarten als ein halbgares Linux zu veröffentlichen.

andy_m4 · 28. Oktober 2022

Tenferenzu schrieb:
Besser abwarten als ein halbgares Linux zu veröffentlichen.

Nix Halbgares? Na dann hätten die ja bis heute nix rausgebracht. ;-)

Fegr8 · 28. Oktober 2022

Besser als wie bei Games, ein Day-One-Patch beim Release!

Nebenbei: Die sollten mal den Rawhide in Fedora mal bisschen aufräumen, da sind schon einige veraltete Pakete (10 Jahre kein Update und schon längst keine Pakete mehr eine Abhängigkeit auf diese haben) und sogar offiziele Nachfolger auch auch im Rawhide verfügbar sind, aber die aktiven Maintainer der alten Pakete schaffen es dann nicht diese als 'Retired' zu setzen. Aber trotzdem muss dann jedes Paket die automatisches Build-Test durchlaufen für jede Fedora-Version und wenn irgendwelche große Abhängigkeiten geändert werden, müssen auch die Alten im 'Build' gepflegt werden wenn es die Änderung betrifft, obwohl diese schon eingestellt sind und wie gesagt ein offizieller Nachfolger exisitiert.

Northstar2710 · 28. Oktober 2022

Wie sieht es den mit Vc1, h.264,h.265 Hardware dekodierung ? Die sollte doch entfernt werden?

https://www.phoronix.com/news/Fedora-Disable-Bad-VA-API

Ich kenne mich mit Fedora noch nicht aus, gebe es da zur Not eine etwas wie man es wieder aktivieren kann? Oder ist die Meldung wieder passe?!

Rossie · 28. Oktober 2022

Northstar2710 schrieb:
Wie sieht es den mit Vc1, h.264,h.265 Hardware dekodierung?

WIP: https://bugzilla.rpmfusion.org/show_bug.cgi?id=6426

Mihawk90 · 28. Oktober 2022

Northstar2710 schrieb:
Ich kenne mich mit Fedora noch nicht aus, gebe es da zur Not eine etwas wie man es wieder aktivieren kann?

GloriousEggroll hat schon seit langer Zeit ein COPR (ähnlich AUR) in dem er aktuellere Mesa Versionen anbietet, gehe mal stark davon aus er wird die dort wieder aktivieren.

LouisXIV · 28. Oktober 2022

Fegr8 schrieb:
Besser als wie bei Games, ein Day-One-Patch beim Release!

Nebenbei: Die sollten mal den Rawhide in Fedora mal bisschen aufräumen, da sind schon einige veraltete Pakete (10 Jahre kein Update und schon längst keine Pakete mehr eine Abhängigkeit auf diese haben) und sogar offiziele Nachfolger auch auch im Rawhide verfügbar sind, aber die aktiven Maintainer der alten Pakete schaffen es dann nicht diese als 'Retired' zu setzen. Aber trotzdem muss dann jedes Paket die automatisches Build-Test durchlaufen für jede Fedora-Version und wenn irgendwelche große Abhängigkeiten geändert werden, müssen auch die Alten im 'Build' gepflegt werden wenn es die Änderung betrifft, obwohl diese schon eingestellt sind und wie gesagt ein offizieller Nachfolger exisitiert.

Gibt es eigentlich eine Distribution, die Fedora rawhide und OpenSUSE Tumbleweed in der Aktualität und dem Umfang von Kernel und der angebotenen Pakete ähnelt, proprietäre Treiber/Codecs anbietet, einen package manager mitbringt, der sich mit intuitiven Kommandos steuern lässt wie dnf und zypper und eben nicht wie pacman und dazu nicht die hier beschriebenen Probleme aufweist?

andy_m4 · 29. Oktober 2022

Viel problematischer - und das hat jetzt nix mit Fedora zu tun - ist die OpenSSL-Lücke als Solches. Leider erfährt man keine Details. Von OpenSSL-Seite heißt es nur lapidar, das am Dienstag ne abgesicherte Version (3.0.7) erscheint. Ob man jetzt selbst akkut gefährdet ist und was mögliche Workarounds etc. angeht tappt man komplett im Dunkeln.

Mihawk90 · 29. Oktober 2022

andy_m4 schrieb:
Leider erfährt man keine Details. Von OpenSSL-Seite heißt es nur lapidar, das am Dienstag ne abgesicherte Version (3.0.7) erscheint.

Also wäre es dir lieber die Details offenzulegen ohne dass es einen Patch gibt, damit sie auch besser genutzt werden kann?
Wäre ja schließlich sonst langweilig.

thuering · 29. Oktober 2022

Nicht nur LibreOffice ist besser als OpenOffice, sondern auch LibreSSL im Vergleich zu OpenSSL ;-)

sedot · 29. Oktober 2022

Mihawk90 schrieb:
Also wäre es dir lieber die Details offenzulegen ohne dass es einen Patch gibt, damit sie auch besser genutzt werden kann?

Security by obscurity ist jetzt nicht unumstritten.

andy_m4 · 29. Oktober 2022

Mihawk90 schrieb:
Also wäre es dir lieber die Details offenzulegen ohne dass es einen Patch gibt, damit sie auch besser genutzt werden kann?

Wie gesagt. Evtl. kann ich ja ein Workaround schaffen und wenn der darin besteht, das ich meinen Dienst erst mal vom Netz nehme. Es wäre ja naiv anzunehmen das nur das OpenSSL-Team von der Lücke weiß. Ich muss damit rechnen, das auch die "bösen Buben" davon wissen und Angriffe fahren.

Man kanns sowohl so herum als auch so herum argumentieren.

andy_m4 · 29. Oktober 2022

thuering schrieb:
sondern auch LibreSSL im Vergleich zu OpenSSL ;-)

Ja. Bei LibreSSL ist halt viel Zeug rausgeflogen was man eigentlich gar nicht braucht. Und das macht es natürlich auch leichter wartbar und weniger anfällig.

Snowi · 1. November 2022

SE. schrieb:
Security by obscurity ist jetzt nicht unumstritten.

Hat nur damit in diesem Zusammenhang nichts zu tun. Was du meinst, ist eine bewusste Strategie bzgl. Sicherheit bei einem Produkt - hier geht es lediglich um einen Patch für ein Produkt, der noch nicht da ist. Das ist ein bedeutender Unterschied.

News Kritischer OpenSSL-Fehler: Fedora 37 erscheint erst am 15. November

Redakteur a.D.

MiG-35

Gast

Admiral

Commander

Commander

Lt. Commander

Vice Admiral

OpenSSL-Sicherheitslücke verzögert Fedora 37​

Admiral

Lieutenant

Vice Admiral

Rear Admiral

Commander

Lt. Junior Grade

Admiral

Commander

Lt. Commander

Rear Admiral

Admiral

Admiral

Snowi

Gast

Ähnliche Themen

Passend zum Thema

OpenSSL-Sicherheitslücke verzögert Fedora 37