P-E-Meunier

**Nome do software vulnerável e versões afetadas** Versões do Nix de 1.11 a 2.18.7 Versões do Nix de 1.11 a 2.24.7 **Descrição** O problema está relacionado ao gerenciador de pacotes Nix para Linux e outros sistemas Unix. A partir da versão 1.11 e até as versões 2.18.8 e 2.24.8, o `<nix/fetchurl.nix>` não verificava certificados TLS em conexões HTTPS. Isso poderia levar ao vazamento de detalhes da conexão, como URLs completas ou credenciais, no caso de um ataque man-in-the-middle (MITM). Um usuário pode estar sujeito ao risco de vazamento de credenciais se tiver um arquivo `netrc` para autenticação ou se depender de derivações com `impureEnvVars` configurado para usar credenciais do ambiente. A técnica comum de confiança na primeira utilização (TOFU), que atualiza dependências especificando um hash inválido e obtendo-o de um repositório remoto, também era vulnerável a um ataque MITM que injetasse objetos arbitrários no repositório. **Recomendações** Para as versões 1.11 a 2.18.7 do Nix, atualize para a versão 2.18.8 ou posterior. Para as versões 1.11 a 2.24.7 do Nix, atualize para a versão 2.24.8 ou posterior. Como solução temporária, implemente a busca (autenticada) com `pkgs.fetchurl` do Nixpkgs, usando `impureEnvVars` e `curlOpts` conforme necessário.