Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en calamares-nixos-extensions (CVE-2024-43378)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-256 Almacenamiento de un contraseña en texto claro
Fecha de publicación:
16/08/2024
Última modificación:
19/08/2024

Descripción

calamares-nixos-extensions proporciona la marca Calamares y módulos para NixOS, una distribución de GNU/Linux. Usuarios que instalaron NixOS a través del instalador gráfico que utilizaron la partición manual del disco para crear una configuración en la que el sistema se inició a través de BIOS heredado en lugar de UEFI; algunas particiones del disco están cifradas; pero las particiones que contienen `/` o `/boot` no están cifradas; tener su archivo de clave de cifrado de disco LUKS en texto plano, ya sea en `/crypto_keyfile.bin` o en un archivo CPIO adjunto a su initrd de NixOS. `nixos-install` no se ve afectado, ni tampoco las instalaciones UEFI, ni la configuración de partición automática predeterminada en los sistemas BIOS heredados. El problema se solucionó en calamares-nixos-extensions 0.3.17, que se incluyó en NixOS. Las imágenes del instalador actual para los canales NixOS 24.05 e inestable (24.11) no se ven afectadas. La corrección llegó a las 24.05 el 13 de agosto de 2024 a las 20:06:59 UTC y fue inestable el 15 de agosto de 2024 a las 09:00:20 UTC. Las imágenes del instalador descargadas antes de esas fechas pueden ser vulnerables. La mejor solución para los usuarios afectados probablemente sea hacer una copia de seguridad de sus datos y realizar una reinstalación completa. Sin embargo, el procedimiento de mitigación en GHSA-3rvf-24q2-24ww debería funcionar únicamente en el caso en el que `/` esté cifrado pero `/boot` no. Si `/` no está cifrado, entonces será necesario eliminar el archivo `/crypto_keyfile.bin` además de seguir los pasos de corrección del aviso anterior. Este problema es una regresión parcial de CVE-2023-36476/GHSA-3rvf-24q2-24ww, que era más grave al aplicarse a la configuración predeterminada en los sistemas BIOS.