CVE-2024-27297— Nix 安全漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2024-27297 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Nix Corruption of fixed-output derivations
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Nix is a package manager for Linux and other Unix systems. A fixed-output derivations on Linux can send file descriptors to files in the Nix store to another program running on the host (or another fixed-output derivation) via Unix domain sockets in the abstract namespace. This allows to modify the output of the derivation, after Nix has registered the path as "valid" and immutable in the Nix database. In particular, this allows the output of fixed-output derivations to be modified from their expected content. This issue has been addressed in versions 2.3.18 2.18.2 2.19.4 and 2.20.5. Users are advised to upgrade. There are no known workarounds for this vulnerability.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:L
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
检查时间与使用时间(TOCTOU)的竞争条件
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
Nix 安全漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
Nix是Nix开源的一个强大的包管理器。用于制作包。 Nix 2.20.3及之前版本存在安全漏洞,该漏洞源于Linux 上的固定输出派生可以通过抽象命名空间中的 Unix 域套接字将 Nix 存储中的文件描述符发送到主机上运行的另一个程序,允许对预期内容进行修改。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
二、漏洞 CVE-2024-27297 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2024-27297 的情报信息
请登录查看更多情报信息。
CVE-2024-27297 补丁与修复 (1)
CVE-2024-27297 厂商安全公告 (1)
- https://github.com/NixOS/nix/security/advisories/GHSA-2ffj-w4mj-pg37x_refsource_CONFIRM
CVE-2024-27297 其他参考 (1)
- https://hackmd.io/03UGerewRcy3db44JQoWvwx_refsource_MISC
IV. Related Vulnerabilities
V. Comments for CVE-2024-27297
暂无评论