CVE-2024-45593

Nome do software vulnerável e versões afetadas:

Versões 2.24 a 2.24.5 do Nix

Versão 2.24 do Nix anterior à 2.24.6

Descrição:

Um bug no Nix permite que um substituidor ou usuário mal-intencionado crie um NAR que, quando descompactado pelo Nix, faz com que o Nix grave em locais arbitrários do sistema de arquivos aos quais o processo Nix tem acesso. Isso ocorrerá com permissões de root ao usar o daemon do Nix. O problema está relacionado à restrição inadequada do nome do caminho do diretório com acesso limitado. A exploração da vulnerabilidade pode permitir que um invasor remoto sobrescreva arquivos arbitrários no sistema.

Recomendações:

Para as versões 2.24 a 2.24.5 do Nix, atualize para o Nix 2.24.6 para corrigir o bug.

Para a versão 2.24 do Nix anterior à 2.24.6, atualize para o Nix 2.24.6 para corrigir o problema.

Como solução alternativa temporária, considere restringir o acesso ao daemon do Nix para minimizar o risco de exploração.