calamares-nixos-extensions LUKS 密钥文件在旧版 BIOS 系统上暴露回归(CVE-2024-43378)
CVE编号
CVE-2024-43378利用情况
暂无补丁情况
N/A披露时间
2024-08-16漏洞描述
Calamares-nixos-extensions为NixOS(GNU/Linux的一个分支)提供Calamares品牌和模块。对于通过图形安装程序安装NixOS的用户,他们使用手动磁盘分区创建一个通过传统BIOS而非UEFI启动的系统设置;某些磁盘分区已加密,但包含“/”或“/boot”的分区是未加密的;他们的LUKS磁盘加密密钥文件以纯文本形式存在于“/crypto_keyfile.bin”中,或者附加到NixOS initrd的CPIO存档中。“nixos-install”未受影响,UEFI安装也未受影响,传统BIOS系统的默认自动分区配置也未受影响。这个问题已在calamares-nixos-extensions 0.3.17中得到修复,该版本已包含在NixOS中。目前NixOS 24.05和不稳定(24.11)通道的安装程序镜像未受影响。该修复在2024年8月13日20:06:59 UTC到达24.05版本,在2024年8月15日09:00:20 UTC到达不稳定版本。在此时间之前下载的安装程序可能易受攻击。对于受影响的用户来说,最好的解决方案可能是备份数据并进行完整的重新安装。然而,缓解程序GHSA-3rvf-24q2仅适用于“/”加密但“/boot”未加密的情况。如果“/”未加密,则需要删除“/crypto_keyfile.bin”文件,并执行之前的咨询补救措施。这个问题是CVE-2023-36476 / GHSA-3rvf-24q2-24ww的部分回归,当时的问题更为严重,因为它适用于BIOS系统的默认配置。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论