CVE-2021-21373

Versões do Nim anteriores à 1.2.10

Versões do Nim anteriores à 1.4.4

O problema afeta o gerenciador de pacotes Nimble para a linguagem de programação Nim. Quando o comando “nimble refresh” é utilizado, ele busca uma lista de pacotes Nimble via HTTPS por padrão, mas recorre a uma URL sem TLS http://irclogs.nim-lang.org/packages.json em caso de erro. Um invasor capaz de realizar um ataque Man-in-the-Middle (MitM) pode enviar uma lista de pacotes modificada contendo pacotes de software maliciosos. Se esses pacotes forem instalados e utilizados, o ataque pode evoluir para a execução de código não confiável.

Para versões anteriores à 1.2.10, atualize para a versão 1.2.10 ou posterior para resolver o problema.

Para versões anteriores à 1.4.4, atualize para a versão 1.4.4 ou posterior para resolver o problema.

Como solução alternativa temporária, considere desativar o uso da URL http://irclogs.nim-lang.org/packages.json até que um patch esteja disponível. Restrinja o acesso ao comando “nimble refresh” para minimizar o risco de exploração. Evite usar a URL não TLS no comando “nimble refresh” até que o problema seja resolvido.