Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в Nix и Lix, позволяющие поднять привилегии в системе"	+/–
Сообщение от opennews (??), 05-Май-26, 14:14
В пакетных менеджерах Nix и Lix выявлена уязвимость, позволяющая выполнить код с правами фонового процесса, который в NixOS и многопользовательских установках выполняется под пользователем root.  Проблема (CVE не присвоен) проявляется в фоновом процессе  nix-daemon, применяемом для организации доступа непривилегированных пользователей к сборочным операциям и хранилищу пакетов... Подробнее: https://www.opennet.me/opennews/art.shtml?num=65364
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от anonymous (??), 05-Май-26, 14:14	–3 +/–
Ох, а как его рекламировали!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28

2. Сообщение от Аноним (-), 05-Май-26, 14:38    Скрыто ботом-модератором	+/–
nix это отличная система, можно даже root установить
Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от Аноним (3), 05-Май-26, 14:57	–6 +/–
Это же самый безопасный NIX! Как жи таг? Его используют не только школьники, но и военные. Наверное последние просто в восторге.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #17

4. Сообщение от Аноним (4), 05-Май-26, 15:00	–2 +/–
А в чем, собственно, проблема? Доступ к хостам ограничен
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #6

6. Сообщение от Аноним (6), 05-Май-26, 15:42	–2 +/–
> А в чем, собственно, проблема? В том, что ты не читал дальше заголовка. > Доступ к хостам ограничен А у вас там в локалке все админы, да? В новости же написано: "Проблема может быть эксплуатирована любым пользователем, способным устанавливать соединения к nix-daemon. По умолчанию все пользователи имеют такую возможность, что позволять поднять свои привилегии до пользователя root в многопользовательских установках Nix."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #8, #27

7. Сообщение от Аноним (7), 05-Май-26, 15:42	+5 +/–
Выглядит как нечто не затрагивающее 99.9% пользователей NixOS
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #10

8. Сообщение от Аноним (4), 05-Май-26, 15:57	+/–
>А у вас там в локалке все админы, да? В новости же написано: >"Проблема может быть эксплуатирована любым пользователем, способным устанавливать соединения к nix-daemon. По умолчанию все пользователи имеют такую возможность, что позволять поднять свои привилегии до пользователя root в многопользовательских установках Nix." Дак к nix-daemon доступ только с хоста
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #21

9. Сообщение от Alladin (?), 05-Май-26, 16:05	+/–
если так то их получается нет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #12

10. Сообщение от ырап (?), 05-Май-26, 16:09	–1 +/–
99.9 - пользователей NixOS 99.99 - пользователей linux 99.999 - людей 99.9999 - живых 99.99999 - живых и не живых
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #11

11. Сообщение от 1 (??), 05-Май-26, 16:11	+/–
> 99.99999 - живых и не живых А остальные в коме ? O_o
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

12. Сообщение от Аноним (4), 05-Май-26, 16:13	+/–
есть и что?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

13. Сообщение от Аноним (13), 05-Май-26, 16:21	–1 +/–
использую debian unstable 15+ лет. пофигу совершенно что что-то нашли в nixos (хорошо что ищут), все равно на нее перейду как минимум на втором ноутбуке, а в перспективе и на основном
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

14. Сообщение от Аноним (14), 05-Май-26, 16:31    Скрыто ботом-модератором	–2 +/–
Вот вам и линукс, а ведь в виндовсе нет такого бардака.
Ответить | Правка | Наверх | Cообщить модератору

15. Сообщение от Аноним (4), 05-Май-26, 16:37	+/–
Удачи! Перешел на nixos лет 7 назад и не жалею
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #19

17. Сообщение от Сладкая булочка (-), 05-Май-26, 16:57    Скрыто ботом-модератором	+/–
> но и военные Кто сказал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

18. Сообщение от Аноним (30), 05-Май-26, 17:06	–1 +/–
Неограниченная рекурсия. Детская ошибка. Квалификация автора и сопровождающего?
Ответить | Правка | Наверх | Cообщить модератору

19. Сообщение от Аноним (30), 05-Май-26, 17:17	+/–
https://tracker.security.nixos.org/ Какой-то куцый трекер. С учетом деривативности дистра - уязвимости устранять они будут долго. В настоящее время (ИИ аудит кода) оперативность выходит на передний план.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #20

20. Сообщение от Аноним (4), 05-Май-26, 17:31	+1 +/–
>Какой-то куцый трекер о нет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

21. Сообщение от Аноним (21), 05-Май-26, 17:36	+/–
Когда у тебя только локалхост с единственным пользователем это действительно не проблема. Но линуксом (втч и этим) пользуются не только на локалхостах. SELinux на Nix не взлетел, видите ли он Дольстре ломает умозрительную иммутабельность /nix/store (а номера инодов и адреса физических блоков не ломают? Того же порядка мета-информация ведь), а добавить метки в NAR-файлы у всех лапки; AppArmor с большего тоже никак, хотя и был признан более подходящим под идеи Nix. В NixOS желающих добавить модуль для SELinux тоже не нашлось, пришлось в своё время написать для кастомера самому, к счастью это несложно. И это дистрибутив с передовыми идеями. На сегодняшний день, если нужно что-то чуть менее игрушечное, чем юниксовое ugo, приходится брать RH. Там хоть SELinux осилили с грехом пополам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #23, #25, #32

22. Сообщение от анон2 (?), 05-Май-26, 17:36	+1 +/–
зато воспроизводимо!
Ответить | Правка | Наверх | Cообщить модератору

23. Сообщение от Аноним (4), 05-Май-26, 17:41	+/–
Напомни, почему твое мнение важно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #30, #31

24. Сообщение от pashev.ru (?), 05-Май-26, 17:44	+/–
Lix — какое-то невнятное нечто.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35

25. Сообщение от Аноним (4), 05-Май-26, 17:49	+/–
>Когда у тебя только локалхост с единственным пользователем это действительно не проблема. А почему это проблема с 20 000 хостами и 1000 человек в конторе?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #33

26. Сообщение от Аноним (32), 05-Май-26, 18:00	+/–
>Проблема решена ограничением уровня рекурсии в 64 вложенных директории, добавлением сторожевых страниц памяти между стеком и кучей Опять кто-то не уследил за размерам буфера. Непонятно только, зачем число хардкодить.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29

27. Сообщение от Аноним (27), 05-Май-26, 18:01	+/–
> В том, что ты не читал дальше заголовка. Кажется, это ты не читаешь. Что мешает запускать nix не от рута?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #34

28. Сообщение от Аноним (28), 05-Май-26, 18:05	+/–
> Уязвимость эксплуатируется через создание в tar-файлах элементов с абсолютными файловыми путями. Да не, да как это придумали?!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

29. Сообщение от Аноним (28), 05-Май-26, 18:07	+/–
> Непонятно только, зачем число хардкодить. Ну как же, системы сейчас - 64-битные, адресного пространства - бит 48 как минимум. Вот и ввели цифру 64 для максимального количества каталогов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

30. Сообщение от Аноним (30), 05-Май-26, 18:09	+/–
Почему важно, что ты используешь nix?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

31. Сообщение от Аноним (30), 05-Май-26, 18:11	+/–
>>SELinux на Nix не взлетел >Напомни, почему твое мнение важно? Это объясняет реакцию.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

32. Сообщение от Аноним (32), 05-Май-26, 18:17	+/–
>В NixOS желающих добавить модуль для SELinux тоже не нашлось, пришлось в своё время написать для кастомера самому, к счастью это несложно. Если вы его написали, значит вы и есть желающий. У вас же сохранились наработки? Или вы всё таки не написали?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

33. Сообщение от Аноним (21), 05-Май-26, 18:20	+/–
Смотря что на тех 20к хостах. Если это по 20 локалхостов на каждого сотрудника, то проблемы всё ещё нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

34. Сообщение от Аноним (21), 05-Май-26, 18:21	+/–
Что мешает не от рута подменить в /nix/store бинарник, который ты от рута запускаешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #37

35. Сообщение от Аноним (35), 05-Май-26, 18:28	+/–
В чем отличие от Nix?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

36. Сообщение от Дворник (??), 05-Май-26, 18:33	+/–
Так-то кто имеет уже доступ к nix-daemon, ох, к чему только ни имеет уже его.. Но да, тут уже формально. Имеет.
Ответить | Правка | Наверх | Cообщить модератору

37. Сообщение от Аноним (4), 05-Май-26, 18:45	+/–
каталог только на чтение
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема