2024/09/15 SecurityOnline — Linux/Unix ベース・システムで人気のパッケージ・マネージャ Nix に、深刻度の高い脆弱性が発見された。脆弱性 CVE-2024-45593 (CVSS:9.1) の悪用に成功した攻撃者は、NAR のアンパック・プロセスを介して、任意のファイル・システムへの書き込みを可能にするという。その結果として、重大な脅威が発生する恐れがある。
脆弱性 CVE-2024-45593 は、Nix のバージョン 2.24.0〜2.24.5 に影響を及ぼすものであり、安全ではない NAR (Nix ARchive) 解凍に起因するものである。攻撃者が悪意を持って作成する、特別な NAR ファイルが Nix により解凍されると、Nix プロセスからアクセス可能なシステム上の任意の場所で、ファイルの作成/上書きが可能になる。この脆弱性は、Nix デーモンを使用しているケースにおいて、Nix が root として実行されている場合には、攻撃者が昇格した権限でファイルを書き込み、重要なシステム・リソースを制御する可能性があるため、特に危険である。
すでに NixOS チームは、CVE-2024-45593 の脆弱性を修正した、Nix 2.24.6 をリリースしている。
ユーザーに対して強く推奨されるのは、直ちにアップグレードを行い、システムを保護することである。この対処を怠ると、不正なファイル書き込みに対して、システムが脆弱な状態となり、データの破損/権限の昇格/システム全体の侵害などの可能性が生じる。
速やかなアップグレードが不可能な場合には、以下の回避策によりリスクを軽減できる:
- 信頼できる代替品の使用:信頼できるソースから提供される、パッケージの代替品のみを許可するようにする。
- アクセスの制限:Nix の allowed-users 設定を使用して、代替品を実行できるユーザーを制限し、システムでのアクセス制御を厳しくする。
このブログでは初登場の NixOS なので、Wikipedia で調べたところ、「NixOS は、Nix パッケージ・マネージャーをベースにした、OSS Linux ディストリビューションである。NixOS は、コンフィグが可能なモジュールで構成され、Nixpkgs プロジェクトで定義されたパッケージに依存している。パッケージのレシピとコンフィグは、Nix パッケージ・マネージャーに付属する専用の “Nix” 言語で記述されている」と紹介されていました。また、Qiita には「Nix とはなにか、パッケージマネージャとしての使い方の紹介」という記事がありますので、よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.