Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в Nix и Lix, позволяющие поднять привилегии в системе"	+/–
Сообщение от opennews (??), 05-Май-26, 14:14
В пакетных менеджерах Nix и Lix выявлена уязвимость, позволяющая выполнить код с правами фонового процесса, который в NixOS и многопользовательских установках выполняется под пользователем root.  Проблема (CVE не присвоен) проявляется в фоновом процессе  nix-daemon, применяемом для организации доступа непривилегированных пользователей к сборочным операциям и хранилищу пакетов... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65364
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	–3 +/–
Сообщение от anonymous (??), 05-Май-26, 14:14
Ох, а как его рекламировали!
Ответить | Правка | Наверх | Cообщить модератору

	28. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (28), 05-Май-26, 18:05
	> Уязвимость эксплуатируется через создание в tar-файлах элементов с абсолютными файловыми путями. Да не, да как это придумали?!
	Ответить | Правка | Наверх | Cообщить модератору

2. Скрыто модератором	+/–
Сообщение от Аноним (-), 05-Май-26, 14:38
nix это отличная система, можно даже root установить
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	–6 +/–
Сообщение от Аноним (3), 05-Май-26, 14:57
Это же самый безопасный NIX! Как жи таг? Его используют не только школьники, но и военные. Наверное последние просто в восторге.
Ответить | Правка | Наверх | Cообщить модератору

	4. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	–2 +/–
	Сообщение от Аноним (4), 05-Май-26, 15:00
	А в чем, собственно, проблема? Доступ к хостам ограничен
	Ответить | Правка | Наверх | Cообщить модератору

	6. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	–2 +/–
	Сообщение от Аноним (6), 05-Май-26, 15:42
	> А в чем, собственно, проблема? В том, что ты не читал дальше заголовка. > Доступ к хостам ограничен А у вас там в локалке все админы, да? В новости же написано: "Проблема может быть эксплуатирована любым пользователем, способным устанавливать соединения к nix-daemon. По умолчанию все пользователи имеют такую возможность, что позволять поднять свои привилегии до пользователя root в многопользовательских установках Nix."
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (4), 05-Май-26, 15:57
	>А у вас там в локалке все админы, да? В новости же написано: >"Проблема может быть эксплуатирована любым пользователем, способным устанавливать соединения к nix-daemon. По умолчанию все пользователи имеют такую возможность, что позволять поднять свои привилегии до пользователя root в многопользовательских установках Nix." Дак к nix-daemon доступ только с хоста
	Ответить | Правка | Наверх | Cообщить модератору

	21. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	–1 +/–
	Сообщение от Аноним (21), 05-Май-26, 17:36
	Когда у тебя только локалхост с единственным пользователем это действительно не проблема. Но линуксом (втч и этим) пользуются не только на локалхостах. SELinux на Nix не взлетел, видите ли он Дольстре ломает умозрительную иммутабельность /nix/store (а номера инодов и адреса физических блоков не ломают? Того же порядка мета-информация ведь), а добавить метки в NAR-файлы у всех лапки; AppArmor с большего тоже никак, хотя и был признан более подходящим под идеи Nix. В NixOS желающих добавить модуль для SELinux тоже не нашлось, пришлось в своё время написать для кастомера самому, к счастью это несложно. И это дистрибутив с передовыми идеями. На сегодняшний день, если нужно что-то чуть менее игрушечное, чем юниксовое ugo, приходится брать RH. Там хоть SELinux осилили с грехом пополам.
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+1 +/–
	Сообщение от Аноним (4), 05-Май-26, 17:41
	Напомни, почему твое мнение важно?
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (30), 05-Май-26, 18:09
	Почему важно, что ты используешь nix?
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (30), 05-Май-26, 18:11
	>>SELinux на Nix не взлетел >Напомни, почему твое мнение важно? Это объясняет реакцию.
	Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

	25. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (4), 05-Май-26, 17:49
	>Когда у тебя только локалхост с единственным пользователем это действительно не проблема. А почему это проблема с 20 000 хостами и 1000 человек в конторе?
	Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

	33. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (21), 05-Май-26, 18:20
	Смотря что на тех 20к хостах. Если это по 20 локалхостов на каждого сотрудника, то проблемы всё ещё нет.
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (32), 05-Май-26, 18:17
	>В NixOS желающих добавить модуль для SELinux тоже не нашлось, пришлось в своё время написать для кастомера самому, к счастью это несложно. Если вы его написали, значит вы и есть желающий. У вас же сохранились наработки? Или вы всё таки не написали?
	Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

	27. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (27), 05-Май-26, 18:01
	> В том, что ты не читал дальше заголовка. Кажется, это ты не читаешь. Что мешает запускать nix не от рута?
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	34. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (21), 05-Май-26, 18:21
	Что мешает не от рута подменить в /nix/store бинарник, который ты от рута запускаешь?
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (4), 05-Май-26, 18:45
	каталог только на чтение
	Ответить | Правка | Наверх | Cообщить модератору

	17. Скрыто модератором	+/–
	Сообщение от Сладкая булочка (-), 05-Май-26, 16:57
	> но и военные Кто сказал?
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	38. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Дворник (??), 05-Май-26, 19:20
	Норм там всё. Трудно представить NIXOS-систему, где в конфиге не прописано что-то типа `nix.settings.allowed-users = [ "@wheel" ];`
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	44. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от ruroruro (ok), 05-Май-26, 21:14
	Мне интересно, даже если не установлен allowed-user, кажется что эксплоит все равно не должен работать. Потому что вроде как по дефоту список trusted-users - пустой (а пользователи не находящиеся в категории trusted-users по идее могут распаковывать только подписанные NAR архивы). То есть кажется, что для того чтобы "любой пользователь" мог воспользоваться этим эксплоитом, этот пользователь должен либо убедить админов добавить свои ключи в trusted-public-keys, либо каким-то образом подписать "зловредный" NAR оффициальными ключами cache.nixos.org. Что в принципе возможно, но все-таки уже не настолько страшно звучит как "Проблема может быть эксплуатирована любым пользователем, способным устанавливать соединения к nix-daemon". Или я что-то упускаю?
	Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+5 +/–
Сообщение от Аноним (7), 05-Май-26, 15:42
Выглядит как нечто не затрагивающее 99.9% пользователей NixOS
Ответить | Правка | Наверх | Cообщить модератору

	9. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Alladin (?), 05-Май-26, 16:05
	если так то их получается нет?
	Ответить | Правка | Наверх | Cообщить модератору

	12. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (4), 05-Май-26, 16:13
	есть и что?
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	–1 +/–
	Сообщение от ырап (?), 05-Май-26, 16:09
	99.9 - пользователей NixOS 99.99 - пользователей linux 99.999 - людей 99.9999 - живых 99.99999 - живых и не живых
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	11. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от 1 (??), 05-Май-26, 16:11
	> 99.99999 - живых и не живых А остальные в коме ? O_o
	Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
Сообщение от Аноним (13), 05-Май-26, 16:21
использую debian unstable 15+ лет. пофигу совершенно что что-то нашли в nixos (хорошо что ищут), все равно на нее перейду как минимум на втором ноутбуке, а в перспективе и на основном
Ответить | Правка | Наверх | Cообщить модератору

	15. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+1 +/–
	Сообщение от Аноним (4), 05-Май-26, 16:37
	Удачи! Перешел на nixos лет 7 назад и не жалею
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (30), 05-Май-26, 17:17
	https://tracker.security.nixos.org/ Какой-то куцый трекер. С учетом деривативности дистра - уязвимости устранять они будут долго. В настоящее время (ИИ аудит кода) оперативность выходит на передний план.
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+1 +/–
	Сообщение от Аноним (4), 05-Май-26, 17:31
	>Какой-то куцый трекер о нет
	Ответить | Правка | Наверх | Cообщить модератору

14. Скрыто модератором	–6 +/–
Сообщение от Аноним (14), 05-Май-26, 16:31
Вот вам и линукс, а ведь в виндовсе нет такого бардака.
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	–1 +/–
Сообщение от Аноним (30), 05-Май-26, 17:06
Неограниченная рекурсия. Детская ошибка. Квалификация автора и сопровождающего?
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+1 +/–
Сообщение от анон2 (?), 05-Май-26, 17:36
зато воспроизводимо!
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
Сообщение от pashev.ru (?), 05-Май-26, 17:44
Lix — какое-то невнятное нечто.
Ответить | Правка | Наверх | Cообщить модератору

	35. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	–1 +/–
	Сообщение от Аноним (35), 05-Май-26, 18:28
	В чем отличие от Nix?
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (40), 05-Май-26, 20:12
	Розовый сайт и будут переходить на раст.
	Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	–1 +/–
Сообщение от Аноним (32), 05-Май-26, 18:00
>Проблема решена ограничением уровня рекурсии в 64 вложенных директории, добавлением сторожевых страниц памяти между стеком и кучей Опять кто-то не уследил за размерам буфера. Непонятно только, зачем число хардкодить.
Ответить | Правка | Наверх | Cообщить модератору

	29. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (28), 05-Май-26, 18:07
	> Непонятно только, зачем число хардкодить. Ну как же, системы сейчас - 64-битные, адресного пространства - бит 48 как минимум. Вот и ввели цифру 64 для максимального количества каталогов.
	Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
Сообщение от Дворник (??), 05-Май-26, 18:33
Так-то кто имеет уже доступ к nix-daemon, ох, к чему только ни имеет уже его.. Но да, тут уже формально. Имеет.
Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
Сообщение от Аноним (40), 05-Май-26, 20:11
> Lix is designed for evolution of its codebase. Lix already uses the more modern meson build system, which improves developer usability and decreases build times. Plans include a gradual, piecewise introduction of the memory-safe Rust programming language – to both supplement and replace sections of the current C++ codebase. Не, спасибо, не надо.
Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
Сообщение от Аноним (42), 05-Май-26, 21:00
Да вы блин скажите, нужно учить этот их язык для пользования ос или для всего есть дефолтные конфиги, которые можно просто поправить по доке?
Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
Сообщение от Аноним (43), 05-Май-26, 21:03
> исчерпания стека сопрограмм и перезаписи содержимого кучи GNU malloc наносит ответный удар со своим выделением переменных в конце стека "для скорости"?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема