forum.opennet.ru - "Уязвимости в Nix и Lix, позволяющие поднять привилегии в системе" (36)

"Уязвимости в Nix и Lix, позволяющие поднять привилегии в системе"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в Nix и Lix, позволяющие поднять привилегии в системе"	+/–
Сообщение от opennews (??), 05-Май-26, 14:14
В пакетных менеджерах Nix и Lix выявлена уязвимость, позволяющая выполнить код с правами фонового процесса, который в NixOS и многопользовательских установках выполняется под пользователем root. Проблема (CVE не присвоен) проявляется в фоновом процессе nix-daemon, применяемом для организации доступа непривилегированных пользователей к сборочным операциям и хранилищу пакетов... Подробнее: https://www.opennet.me/opennews/art.shtml?num=65364
Ответить \| Правка \| Cообщить модератору

Оглавление

Ох, а как его рекламировали , anonymous (??), 14:14 , 05-Май-26, (1) –2

Да не, да как это придумали , Аноним (28), 18:05 , 05-Май-26, (28) +1

nix это отличная система, можно даже root установить, Аноним (-), 14:38 , 05-Май-26, (2)
Это же самый безопасный NIX Как жи таг Его используют не только школьники, но и, Аноним (3), 14:57 , 05-Май-26, (3) –4

А в чем, собственно, проблема Доступ к хостам ограничен, Аноним (4), 15:00 , 05-Май-26, (4) –2

В том, что ты не читал дальше заголовка А у вас там в локалке все админы, да В , Аноним (6), 15:42 , 05-Май-26, (6) –2

Дак к nix-daemon доступ только с хоста, Аноним (4), 15:57 , 05-Май-26, (8)

Когда у тебя только локалхост с единственным пользователем это действительно не , Аноним (21), 17:36 , 05-Май-26, (21) –1

Напомни, почему твое мнение важно , Аноним (4), 17:41 , 05-Май-26, (23) +1

Почему важно, что ты используешь nix , Аноним (30), 18:09 , 05-Май-26, (30)
Это объясняет реакцию , Аноним (30), 18:11 , 05-Май-26, (31)

А почему это проблема с 20 000 хостами и 1000 человек в конторе , Аноним (4), 17:49 , 05-Май-26, (25)

Смотря что на тех 20к хостах Если это по 20 локалхостов на каждого сотрудника, , Аноним (21), 18:20 , 05-Май-26, (33)

Если вы его написали, значит вы и есть желающий У вас же сохранились наработки , Аноним (32), 18:17 , 05-Май-26, (32)

Кажется, это ты не читаешь Что мешает запускать nix не от рута , Аноним (27), 18:01 , 05-Май-26, (27)

Что мешает не от рута подменить в nix store бинарник, который ты от рута запуск, Аноним (21), 18:21 , 05-Май-26, (34)

каталог только на чтение, Аноним (4), 18:45 , 05-Май-26, (37)

Кто сказал , Сладкая булочка (-), 16:57 , 05-Май-26, (17)
Норм там всё Трудно представить NIXOS-систему, где в конфиге не прописано что-т, Дворник (??), 19:20 , 05-Май-26, (38)

Мне интересно, даже если не установлен allowed-user, кажется что эксплоит все ра, ruroruro (ok), 21:14 , 05-Май-26, (44)

Выглядит как нечто не затрагивающее 99 9 пользователей NixOS , Аноним (7), 15:42 , 05-Май-26, (7) +6

если так то их получается нет , Alladin (?), 16:05 , 05-Май-26, (9) +1

есть и что , Аноним (4), 16:13 , 05-Май-26, (12)

Неограниченная рекурсия Детская ошибка Квалификация автора и сопровождающего , Аноним (30), 17:06 , 05-Май-26, (18) –1
зато воспроизводимо , анон2 (?), 17:36 , 05-Май-26, (22) +1
Lix 8212 какое-то невнятное нечто , pashev.ru (?), 17:44 , 05-Май-26, (24)

В чем отличие от Nix , Аноним (35), 18:28 , 05-Май-26, (35) –1

Розовый сайт и будут переходить на раст , Аноним (40), 20:12 , 05-Май-26, (40)
Отличия - в основном организационно-политические С одной стороны, там действител, ruroruro (ok), 22:34 , 05-Май-26, (46)

Опять кто-то не уследил за размерам буфера Непонятно только, зачем число хардко, Аноним (32), 18:00 , 05-Май-26, (26) –1

Ну как же, системы сейчас - 64-битные, адресного пространства - бит 48 как миним, Аноним (28), 18:07 , 05-Май-26, (29)

Так-то кто имеет уже доступ к nix-daemon, ох, к чему только ни имеет уже его Но, Дворник (??), 18:33 , 05-Май-26, (36)
Не, спасибо, не надо , Аноним (40), 20:11 , 05-Май-26, (39)
Да вы блин скажите, нужно учить этот их язык для пользования ос или для всего ес, Аноним (42), 21:00 , 05-Май-26, (42)

Почти всё можно настроить не изучая язык, список настроек огромен https search, morphe (?), 22:20 , 05-Май-26, (45)

GNU malloc наносит ответный удар со своим выделением переменных в конце стека д, Аноним (43), 21:03 , 05-Май-26, (43)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." –2 +/–

Сообщение от anonymous (??), 05-Май-26, 14:14

Ох, а как его рекламировали!

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +1 +/–

Сообщение от Аноним (28), 05-Май-26, 18:05

> Уязвимость эксплуатируется через создание в tar-файлах элементов с абсолютными файловыми путями.
Да не, да как это придумали?!

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (-), 05-Май-26, 14:38

nix это отличная система, можно даже root установить

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." –4 +/–

Сообщение от Аноним (3), 05-Май-26, 14:57

Это же самый безопасный NIX!
Как жи таг?
Его используют не только школьники, но и военные.
Наверное последние просто в восторге.

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." –2 +/–

Сообщение от Аноним (4), 05-Май-26, 15:00

А в чем, собственно, проблема? Доступ к хостам ограничен

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." –2 +/–

Сообщение от Аноним (6), 05-Май-26, 15:42

> А в чем, собственно, проблема?
В том, что ты не читал дальше заголовка.
> Доступ к хостам ограничен
А у вас там в локалке все админы, да? В новости же написано:
"Проблема может быть эксплуатирована любым пользователем, способным устанавливать соединения к nix-daemon. По умолчанию все пользователи имеют такую возможность, что позволять поднять свои привилегии до пользователя root в многопользовательских установках Nix."

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (4), 05-Май-26, 15:57

>А у вас там в локалке все админы, да? В новости же написано:
>"Проблема может быть эксплуатирована любым пользователем, способным устанавливать соединения к nix-daemon. По умолчанию все пользователи имеют такую возможность, что позволять поднять свои привилегии до пользователя root в многопользовательских установках Nix."
Дак к nix-daemon доступ только с хоста

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." –1 +/–

Сообщение от Аноним (21), 05-Май-26, 17:36

Когда у тебя только локалхост с единственным пользователем это действительно не проблема. Но линуксом (втч и этим) пользуются не только на локалхостах. SELinux на Nix не взлетел, видите ли он Дольстре ломает умозрительную иммутабельность /nix/store (а номера инодов и адреса физических блоков не ломают? Того же порядка мета-информация ведь), а добавить метки в NAR-файлы у всех лапки; AppArmor с большего тоже никак, хотя и был признан более подходящим под идеи Nix. В NixOS желающих добавить модуль для SELinux тоже не нашлось, пришлось в своё время написать для кастомера самому, к счастью это несложно. И это дистрибутив с передовыми идеями.

На сегодняшний день, если нужно что-то чуть менее игрушечное, чем юниксовое ugo, приходится брать RH. Там хоть SELinux осилили с грехом пополам.

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +1 +/–

Сообщение от Аноним (4), 05-Май-26, 17:41

Напомни, почему твое мнение важно?

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (30), 05-Май-26, 18:09

Почему важно, что ты используешь nix?

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (30), 05-Май-26, 18:11

>>SELinux на Nix не взлетел
>Напомни, почему твое мнение важно?
Это объясняет реакцию.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

25. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (4), 05-Май-26, 17:49

>Когда у тебя только локалхост с единственным пользователем это действительно не проблема.
А почему это проблема с 20 000 хостами и 1000 человек в конторе?

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

33. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (21), 05-Май-26, 18:20

Смотря что на тех 20к хостах. Если это по 20 локалхостов на каждого сотрудника, то проблемы всё ещё нет.

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (32), 05-Май-26, 18:17

>В NixOS желающих добавить модуль для SELinux тоже не нашлось, пришлось в своё время написать для кастомера самому, к счастью это несложно.
Если вы его написали, значит вы и есть желающий. У вас же сохранились наработки? Или вы всё таки не написали?

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

27. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (27), 05-Май-26, 18:01

> В том, что ты не читал дальше заголовка.
Кажется, это ты не читаешь. Что мешает запускать nix не от рута?

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

34. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (21), 05-Май-26, 18:21

Что мешает не от рута подменить в /nix/store бинарник, который ты от рута запускаешь?

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (4), 05-Май-26, 18:45

каталог только на чтение

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Сладкая булочка (-), 05-Май-26, 16:57

> но и военные
Кто сказал?

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

38. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Дворник (??), 05-Май-26, 19:20

Норм там всё. Трудно представить NIXOS-систему, где в конфиге не прописано что-то типа
`nix.settings.allowed-users = [ "@wheel" ];`

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

44. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +/–

Сообщение от ruroruro (ok), 05-Май-26, 21:14

Мне интересно, даже если не установлен allowed-user, кажется что эксплоит все равно не должен работать. Потому что вроде как по дефоту список trusted-users - пустой (а пользователи не находящиеся в категории trusted-users по идее могут распаковывать только подписанные NAR архивы).
То есть кажется, что для того чтобы "любой пользователь" мог воспользоваться этим эксплоитом, этот пользователь должен либо убедить админов добавить свои ключи в trusted-public-keys, либо каким-то образом подписать "зловредный" NAR оффициальными ключами cache.nixos.org. Что в принципе возможно, но все-таки уже не настолько страшно звучит как "Проблема может быть эксплуатирована любым пользователем, способным устанавливать соединения к nix-daemon". Или я что-то упускаю?

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +6 +/–

Сообщение от Аноним (7), 05-Май-26, 15:42

Выглядит как нечто не затрагивающее 99.9% пользователей NixOS

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +1 +/–

Сообщение от Alladin (?), 05-Май-26, 16:05

если так то их получается нет?

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (4), 05-Май-26, 16:13

есть и что?

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." –1 +/–

Сообщение от Аноним (30), 05-Май-26, 17:06

Неограниченная рекурсия. Детская ошибка. Квалификация автора и сопровождающего?

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +1 +/–

Сообщение от анон2 (?), 05-Май-26, 17:36

зато воспроизводимо!

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +/–

Сообщение от pashev.ru (?), 05-Май-26, 17:44

Lix — какое-то невнятное нечто.

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." –1 +/–

Сообщение от Аноним (35), 05-Май-26, 18:28

В чем отличие от Nix?

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (40), 05-Май-26, 20:12

Розовый сайт и будут переходить на раст.

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +/–

Сообщение от ruroruro (ok), 05-Май-26, 22:34

Отличия - в основном организационно-политические.
С одной стороны, там действительно какая-то слегка не приятная ситуация с "оригинальным" nixом (который обычно называют "CppNix" когда идет речь о разнообразных форках). Исходный автор CppNix (Eelco Dolstra) в какой-то момент достаточно сильно посорился с другими опенсорсными контрибьюторами (и я проверял, там среди недовольных реально были "значительные" контрибьюторы, а не просто рандомная публика с раздувшимся самомнением).
При чем там целый ряд каких-то терок / несогласий / претенизй по отношению к edolstra. Как технических вроде того что он flakeи по сути зафорсил как стандарт в мега "сыром" виде без какого либо RFC или нормального обсуждения с другими разрабами. Так и организационных вроде того что edolstra неоднократно использовал свой статус чтобы "проталкивать" или "блокировать" PRы на свое усмотрение, без нормального обоснования причин. И заканчивая какой-то действительно подозрительной мутью с спонсорами из "военного сектора".
В итоге, сейчас edolstra "отошел" от разработки CppNix и организовал "с друзьями" отдельную коммерческую организацию Determinate Systems и сделали вообще свой форк DetNix (и вообще, если честно ведут себя эти Determinate Systems действительно как-то противно - пытаются поливать грязью опенсорсных разрабов которые остались работать над CppNix, прикидываются в своих блогпостах как будто их "DetNix" - это исходный nix и тп).
С другой стороны, как люди правильно подмечают, основное отличие Lix от Nix - в том что вебсайт розовый, в том что они планируют "по кускам" переписать его на rust (хотя на данный моммент Lix все ещё на С++) и тем что там почему-то среди топовых контрибьютеров оказалось много людей с хвостами, ушами и "нестандартными" местоимениями. Что вообще странно.
Итого: сейчас есть 3 форка - подозрительный коммерческий DetNix, подозрительный "прогрессивный" Lix и исходный CppNix, который вроде кое-как все ещё разрабатывается людьми, которые остались после первых двух форков. К счастью, сам пакетный менеджер nix на самом деле +/- "feature complete" и основная разработка требуется / происходит над пакетами в NixOS/nixpkgs (а nixpkgs вполне себе жив и бодр). Так что на практике можно пользоваться любым из форков CppNix/Lix/DetNix на свой вкус.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

26. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." –1 +/–

Сообщение от Аноним (32), 05-Май-26, 18:00

>Проблема решена ограничением уровня рекурсии в 64 вложенных директории, добавлением сторожевых страниц памяти между стеком и кучей
Опять кто-то не уследил за размерам буфера. Непонятно только, зачем число хардкодить.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (28), 05-Май-26, 18:07

> Непонятно только, зачем число хардкодить.
Ну как же, системы сейчас - 64-битные, адресного пространства - бит 48 как минимум. Вот и ввели цифру 64 для максимального количества каталогов.

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Дворник (??), 05-Май-26, 18:33

Так-то кто имеет уже доступ к nix-daemon, ох, к чему только ни имеет уже его..
Но да, тут уже формально. Имеет.

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (40), 05-Май-26, 20:11

> Lix is designed for evolution of its codebase. Lix already uses the more modern meson build system, which improves developer usability and decreases build times. Plans include a gradual, piecewise introduction of the memory-safe Rust programming language – to both supplement and replace sections of the current C++ codebase.
Не, спасибо, не надо.

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (42), 05-Май-26, 21:00

Да вы блин скажите, нужно учить этот их язык для пользования ос или для всего есть дефолтные конфиги, которые можно просто поправить по доке?

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +/–

Сообщение от morphe (?), 05-Май-26, 22:20

Почти всё можно настроить не изучая язык, список настроек огромен:
https://search.nixos.org/options
Язык нужен только для сокращения бойлерплейта

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..." +/–

Сообщение от Аноним (43), 05-Май-26, 21:03

> исчерпания стека сопрограмм и перезаписи содержимого кучи
GNU malloc наносит ответный удар со своим выделением переменных в конце стека "для скорости"?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	–2 +/–
Сообщение от anonymous (??), 05-Май-26, 14:14
Ох, а как его рекламировали!
Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+1 +/–
	Сообщение от Аноним (28), 05-Май-26, 18:05
	> Уязвимость эксплуатируется через создание в tar-файлах элементов с абсолютными файловыми путями. Да не, да как это придумали?!
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
Сообщение от Аноним (-), 05-Май-26, 14:38
nix это отличная система, можно даже root установить
Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	–4 +/–
Сообщение от Аноним (3), 05-Май-26, 14:57
Это же самый безопасный NIX! Как жи таг? Его используют не только школьники, но и военные. Наверное последние просто в восторге.
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	–2 +/–
	Сообщение от Аноним (4), 05-Май-26, 15:00
	А в чем, собственно, проблема? Доступ к хостам ограничен
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	–2 +/–
	Сообщение от Аноним (6), 05-Май-26, 15:42
	> А в чем, собственно, проблема? В том, что ты не читал дальше заголовка. > Доступ к хостам ограничен А у вас там в локалке все админы, да? В новости же написано: "Проблема может быть эксплуатирована любым пользователем, способным устанавливать соединения к nix-daemon. По умолчанию все пользователи имеют такую возможность, что позволять поднять свои привилегии до пользователя root в многопользовательских установках Nix."
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (4), 05-Май-26, 15:57
	>А у вас там в локалке все админы, да? В новости же написано: >"Проблема может быть эксплуатирована любым пользователем, способным устанавливать соединения к nix-daemon. По умолчанию все пользователи имеют такую возможность, что позволять поднять свои привилегии до пользователя root в многопользовательских установках Nix." Дак к nix-daemon доступ только с хоста
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	–1 +/–
	Сообщение от Аноним (21), 05-Май-26, 17:36
	Когда у тебя только локалхост с единственным пользователем это действительно не проблема. Но линуксом (втч и этим) пользуются не только на локалхостах. SELinux на Nix не взлетел, видите ли он Дольстре ломает умозрительную иммутабельность /nix/store (а номера инодов и адреса физических блоков не ломают? Того же порядка мета-информация ведь), а добавить метки в NAR-файлы у всех лапки; AppArmor с большего тоже никак, хотя и был признан более подходящим под идеи Nix. В NixOS желающих добавить модуль для SELinux тоже не нашлось, пришлось в своё время написать для кастомера самому, к счастью это несложно. И это дистрибутив с передовыми идеями. На сегодняшний день, если нужно что-то чуть менее игрушечное, чем юниксовое ugo, приходится брать RH. Там хоть SELinux осилили с грехом пополам.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+1 +/–
	Сообщение от Аноним (4), 05-Май-26, 17:41
	Напомни, почему твое мнение важно?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (30), 05-Май-26, 18:09
	Почему важно, что ты используешь nix?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (30), 05-Май-26, 18:11
	>>SELinux на Nix не взлетел >Напомни, почему твое мнение важно? Это объясняет реакцию.
	Ответить \| Правка \| К родителю #23 \| Наверх \| Cообщить модератору


	25. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (4), 05-Май-26, 17:49
	>Когда у тебя только локалхост с единственным пользователем это действительно не проблема. А почему это проблема с 20 000 хостами и 1000 человек в конторе?
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору


	33. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (21), 05-Май-26, 18:20
	Смотря что на тех 20к хостах. Если это по 20 локалхостов на каждого сотрудника, то проблемы всё ещё нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (32), 05-Май-26, 18:17
	>В NixOS желающих добавить модуль для SELinux тоже не нашлось, пришлось в своё время написать для кастомера самому, к счастью это несложно. Если вы его написали, значит вы и есть желающий. У вас же сохранились наработки? Или вы всё таки не написали?
	Ответить \| Правка \| К родителю #21 \| Наверх \| Cообщить модератору


	27. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (27), 05-Май-26, 18:01
	> В том, что ты не читал дальше заголовка. Кажется, это ты не читаешь. Что мешает запускать nix не от рута?
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	34. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (21), 05-Май-26, 18:21
	Что мешает не от рута подменить в /nix/store бинарник, который ты от рута запускаешь?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (4), 05-Май-26, 18:45
	каталог только на чтение
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Сладкая булочка (-), 05-Май-26, 16:57
	> но и военные Кто сказал?
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	38. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Дворник (??), 05-Май-26, 19:20
	Норм там всё. Трудно представить NIXOS-систему, где в конфиге не прописано что-то типа `nix.settings.allowed-users = [ "@wheel" ];`
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	44. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от ruroruro (ok), 05-Май-26, 21:14
	Мне интересно, даже если не установлен allowed-user, кажется что эксплоит все равно не должен работать. Потому что вроде как по дефоту список trusted-users - пустой (а пользователи не находящиеся в категории trusted-users по идее могут распаковывать только подписанные NAR архивы). То есть кажется, что для того чтобы "любой пользователь" мог воспользоваться этим эксплоитом, этот пользователь должен либо убедить админов добавить свои ключи в trusted-public-keys, либо каким-то образом подписать "зловредный" NAR оффициальными ключами cache.nixos.org. Что в принципе возможно, но все-таки уже не настолько страшно звучит как "Проблема может быть эксплуатирована любым пользователем, способным устанавливать соединения к nix-daemon". Или я что-то упускаю?
	Ответить \| Правка \| Наверх \| Cообщить модератору

7. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+6 +/–
Сообщение от Аноним (7), 05-Май-26, 15:42
Выглядит как нечто не затрагивающее 99.9% пользователей NixOS
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+1 +/–
	Сообщение от Alladin (?), 05-Май-26, 16:05
	если так то их получается нет?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (4), 05-Май-26, 16:13
	есть и что?
	Ответить \| Правка \| Наверх \| Cообщить модератору

18. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	–1 +/–
Сообщение от Аноним (30), 05-Май-26, 17:06
Неограниченная рекурсия. Детская ошибка. Квалификация автора и сопровождающего?
Ответить \| Правка \| Наверх \| Cообщить модератору

22. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+1 +/–
Сообщение от анон2 (?), 05-Май-26, 17:36
зато воспроизводимо!
Ответить \| Правка \| Наверх \| Cообщить модератору

24. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
Сообщение от pashev.ru (?), 05-Май-26, 17:44
Lix — какое-то невнятное нечто.
Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	–1 +/–
	Сообщение от Аноним (35), 05-Май-26, 18:28
	В чем отличие от Nix?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от Аноним (40), 05-Май-26, 20:12
	Розовый сайт и будут переходить на раст.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	+/–
	Сообщение от ruroruro (ok), 05-Май-26, 22:34
	Отличия - в основном организационно-политические. С одной стороны, там действительно какая-то слегка не приятная ситуация с "оригинальным" nixом (который обычно называют "CppNix" когда идет речь о разнообразных форках). Исходный автор CppNix (Eelco Dolstra) в какой-то момент достаточно сильно посорился с другими опенсорсными контрибьюторами (и я проверял, там среди недовольных реально были "значительные" контрибьюторы, а не просто рандомная публика с раздувшимся самомнением). При чем там целый ряд каких-то терок / несогласий / претенизй по отношению к edolstra. Как технических вроде того что он flakeи по сути зафорсил как стандарт в мега "сыром" виде без какого либо RFC или нормального обсуждения с другими разрабами. Так и организационных вроде того что edolstra неоднократно использовал свой статус чтобы "проталкивать" или "блокировать" PRы на свое усмотрение, без нормального обоснования причин. И заканчивая какой-то действительно подозрительной мутью с спонсорами из "военного сектора". В итоге, сейчас edolstra "отошел" от разработки CppNix и организовал "с друзьями" отдельную коммерческую организацию Determinate Systems и сделали вообще свой форк DetNix (и вообще, если честно ведут себя эти Determinate Systems действительно как-то противно - пытаются поливать грязью опенсорсных разрабов которые остались работать над CppNix, прикидываются в своих блогпостах как будто их "DetNix" - это исходный nix и тп). С другой стороны, как люди правильно подмечают, основное отличие Lix от Nix - в том что вебсайт розовый, в том что они планируют "по кускам" переписать его на rust (хотя на данный моммент Lix все ещё на С++) и тем что там почему-то среди топовых контрибьютеров оказалось много людей с хвостами, ушами и "нестандартными" местоимениями. Что вообще странно. Итого: сейчас есть 3 форка - подозрительный коммерческий DetNix, подозрительный "прогрессивный" Lix и исходный CppNix, который вроде кое-как все ещё разрабатывается людьми, которые остались после первых двух форков. К счастью, сам пакетный менеджер nix на самом деле +/- "feature complete" и основная разработка требуется / происходит над пакетами в NixOS/nixpkgs (а nixpkgs вполне себе жив и бодр). Так что на практике можно пользоваться любым из форков CppNix/Lix/DetNix на свой вкус.
	Ответить \| Правка \| К родителю #35 \| Наверх \| Cообщить модератору

26. "Уязвимости в Nix и Lix, позволяющие поднять привилегии в сис..."	–1 +/–
Сообщение от Аноним (32), 05-Май-26, 18:00
>Проблема решена ограничением уровня рекурсии в 64 вложенных директории, добавлением сторожевых страниц памяти между стеком и кучей Опять кто-то не уследил за размерам буфера. Непонятно только, зачем число хардкодить.
Ответить \| Правка \| Наверх \| Cообщить модератору