Delroth

**Nome do software vulnerável e versões afetadas** Hydra (versões afetadas não especificadas) **Descrição** O Hydra é um serviço de integração contínua para projetos baseados em Nix. É possível acionar avaliações no Hydra sem qualquer autenticação. Dependendo do tamanho das avaliações, isso pode afetar a disponibilidade dos sistemas. **Recomendações** Para corrigir o problema, aplique o patch disponível em https://github.com/NixOS/hydra/commit/f73043378907c2c7e44f633ad764c8bdd1c947d5 a qualquer pacote do Hydra e atualize. Como solução alternativa temporária para usuários que não possam atualizar, bloqueie a rota “/api/push” em um proxy reverso, observando que isso também desativará o botão “Avaliar conjunto de tarefas” no front-end.

**Nome do software vulnerável e versões afetadas** Versões do Hydra anteriores à correção aplicada por volta das 14h30 UTC do dia 21 de abril de 2024 **Descrição** O Hydra, um serviço de integração contínua para projetos baseados em Nix, apresenta uma falha que permite que invasores executem código arbitrário no contexto do navegador e realizem solicitações HTTP autenticadas. O problema decorre de um recurso que permite que as compilações Nix especifiquem arquivos servidos pelo Hydra aos clientes, afetando particularmente arquivos HTML. Essa falha pode ser contornada evitando-se a abertura de artefatos de compilação HTML até que a vulnerabilidade seja corrigida. **Recomendações** Para versões anteriores ao commit de correção, aplique o commit de correção às instalações locais para resolver a vulnerabilidade. Para usuários do pacote nixpkgs, atualize para a versão unstable ou 23.11 para obter a versão corrigida. Como solução temporária, considere não abrir artefatos de compilação HTML até que a vulnerabilidade seja resolvida.