Vulnerabilidad en calamares-nixos-extensions (CVE-2024-43378)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-256
Almacenamiento de un contraseña en texto claro
Fecha de publicación:
16/08/2024
Última modificación:
19/08/2024
Descripción
calamares-nixos-extensions proporciona la marca Calamares y módulos para NixOS, una distribución de GNU/Linux. Usuarios que instalaron NixOS a través del instalador gráfico que utilizaron la partición manual del disco para crear una configuración en la que el sistema se inició a través de BIOS heredado en lugar de UEFI; algunas particiones del disco están cifradas; pero las particiones que contienen `/` o `/boot` no están cifradas; tener su archivo de clave de cifrado de disco LUKS en texto plano, ya sea en `/crypto_keyfile.bin` o en un archivo CPIO adjunto a su initrd de NixOS. `nixos-install` no se ve afectado, ni tampoco las instalaciones UEFI, ni la configuración de partición automática predeterminada en los sistemas BIOS heredados. El problema se solucionó en calamares-nixos-extensions 0.3.17, que se incluyó en NixOS. Las imágenes del instalador actual para los canales NixOS 24.05 e inestable (24.11) no se ven afectadas. La corrección llegó a las 24.05 el 13 de agosto de 2024 a las 20:06:59 UTC y fue inestable el 15 de agosto de 2024 a las 09:00:20 UTC. Las imágenes del instalador descargadas antes de esas fechas pueden ser vulnerables. La mejor solución para los usuarios afectados probablemente sea hacer una copia de seguridad de sus datos y realizar una reinstalación completa. Sin embargo, el procedimiento de mitigación en GHSA-3rvf-24q2-24ww debería funcionar únicamente en el caso en el que `/` esté cifrado pero `/boot` no. Si `/` no está cifrado, entonces será necesario eliminar el archivo `/crypto_keyfile.bin` además de seguir los pasos de corrección del aviso anterior. Este problema es una regresión parcial de CVE-2023-36476/GHSA-3rvf-24q2-24ww, que era más grave al aplicarse a la configuración predeterminada en los sistemas BIOS.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/NixOS/calamares-nixos-extensions/pull/43
- https://github.com/NixOS/calamares-nixos-extensions/security/advisories/GHSA-3rvf-24q2-24ww
- https://github.com/NixOS/calamares-nixos-extensions/security/advisories/GHSA-vfxf-gpmj-2p25
- https://github.com/NixOS/nixpkgs/pull/331607
- https://github.com/NixOS/nixpkgs/pull/334252