Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Nix (CVE-2024-51481)

Gravedad CVSS v4.0:
BAJA
Tipo:
CWE-693 Fallo del mecanismo de protección
Fecha de publicación:
31/10/2024
Última modificación:
01/11/2024

Descripción

Nix es un administrador de paquetes para Linux y otros sistemas Unix. En macOS, los compiladores integrados (como `builtin:fetchurl`, expuesto a los usuarios con `import `) no se ejecutaban en el entorno aislado de macOS. Por lo tanto, estos compiladores (que se ejecutan bajo los usuarios `nixbld*`) tenían acceso de lectura a rutas legibles por todo el mundo y acceso de escritura a rutas escribibles por todo el mundo fuera del entorno aislado. Este problema se solucionó en 2.18.9, 2.19.7, 2.20.9, 2.21.5, 2.22.4, 2.23.4 y 2.24.10. Tenga en cuenta que el entorno aislado no está habilitado de forma predeterminada en macOS. El entorno aislado de Nix no está pensado principalmente como un mecanismo de seguridad, sino como una ayuda para mejorar la reproducibilidad y la pureza de las compilaciones de Nix. Sin embargo, el sandbox *puede* mitigar el impacto de otros problemas de seguridad al limitar a qué partes del sistema host tiene acceso una compilación.

Impacto

Vector 4.0
CVSS:4.0/AV:L/AC:H/AT:P/PR:L/UI:P/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 1.00 BAJA
Vector: CVSS:4.0/AV:L/AC:H/AT:P/PR:L/UI:P/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Passsive
Confidentiality (VC): Bajo
Integrity (VI): Bajo
Availability (VA): Ninguno
Confidentiality (SC): Bajo
Integrity (SI): Bajo
Availability (SA): Ninguno

Puntuación base 4.0
1.00
Gravedad 4.0
BAJA

Referencias a soluciones, herramientas e información