CVE-2024-47174

Versões do Nix de 1.11 a 2.18.7

Versões do Nix de 1.11 a 2.24.7

O problema está relacionado ao gerenciador de pacotes Nix para Linux e outros sistemas Unix. A partir da versão 1.11 e até as versões 2.18.8 e 2.24.8, o <nix/fetchurl.nix> não verificava certificados TLS em conexões HTTPS. Isso poderia levar ao vazamento de detalhes da conexão, como URLs completas ou credenciais, no caso de um ataque man-in-the-middle (MITM). Um usuário pode estar sujeito ao risco de vazamento de credenciais se tiver um arquivo netrc para autenticação ou se depender de derivações com impureEnvVars configurado para usar credenciais do ambiente. A técnica comum de confiança na primeira utilização (TOFU), que atualiza dependências especificando um hash inválido e obtendo-o de um repositório remoto, também era vulnerável a um ataque MITM que injetasse objetos arbitrários no repositório.

Para as versões 1.11 a 2.18.7 do Nix, atualize para a versão 2.18.8 ou posterior.

Para as versões 1.11 a 2.24.7 do Nix, atualize para a versão 2.24.8 ou posterior.

Como solução temporária, implemente a busca (autenticada) com pkgs.fetchurl do Nixpkgs, usando impureEnvVars e curlOpts conforme necessário.