PT-2024-34646 · Nix · Nix
Puckipedia
·
Publicado
2024-10-31
·
Atualizado
2024-11-01
·
CVE-2024-51481
CVSS v4.0
1.0
Baixa
| Vetor | AV:L/AC:H/AT:P/PR:L/UI:P/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Nix anteriores à 2.18.9
Versões do Nix anteriores à 2.19.7
Versões do Nix anteriores à 2.20.9
Versões do Nix anteriores à 2.21.5
Versões do Nix anteriores à 2.22.4
Versões do Nix anteriores à 2.23.4
Versões do Nix anteriores à 2.24.10
Descrição
O problema diz respeito ao gerenciador de pacotes Nix para sistemas Linux e Unix, especificamente no macOS. Construtores integrados, como
builtin:fetchurl (disponibilizados aos usuários com import <nix/fetchurl.nix>), não eram executados dentro da sandbox do macOS. Isso resultou nesses construtores tendo acesso de leitura a caminhos legíveis publicamente e acesso de gravação a caminhos graváveis publicamente fora da sandbox. A sandbox do Nix tem como objetivo principal melhorar a reprodutibilidade e a pureza das compilações do Nix, mas também pode mitigar o impacto de outras falhas de segurança ao limitar o acesso ao sistema host.Recomendações
Para versões anteriores à 2.18.9, atualize para a versão 2.18.9 ou posterior.
Para versões anteriores à 2.19.7, atualize para a versão 2.19.7 ou posterior.
Para versões anteriores à 2.20.9, atualize para a versão 2.20.9 ou posterior.
Para versões anteriores à 2.21.5, atualize para a versão 2.21.5 ou posterior.
Para versões anteriores à 2.22.4, atualize para a versão 2.22.4 ou posterior.
Para versões anteriores à 2.23.4, atualize para a versão 2.23.4 ou posterior.
Para versões anteriores à 2.24.10, atualize para a versão 2.24.10 ou posterior.
Exploit
Correção
Protection Mechanism Failure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nix