Nix is a package manager for Linux and other Unix systems. A bug in the fix for CVE-2024-27297 allowed for arbitrary overwrites of files writable by the Nix process orchestrating the builds (typically the Nix daemon running as root in multi-user installations) by following symlinks during fixed-output derivation output registration. This affects sandboxed Linux builds - sandboxed macOS builds are unaffected. The location of the temporary output used for the output copy was located inside the build chroot. A symlink, pointing to an arbitrary location in the filesystem, could be created by the derivation builder at that path. During output registration, the Nix process (running in the host mount namespace) would follow that symlink and overwrite the destination with the derivation's output contents. In multi-user installations, this allows all users able to submit builds to the Nix daemon (allowed-users - defaulting to all users) to gain root privileges by modifying sensitive files. This vulnerability is fixed in 2.34.5, 2.33.4, 2.32.7, 2.31.4, 2.30.4, 2.29.3, and 2.28.6.
CVE-2026-39860 is a critical vulnerability in Nix package manager affecting Linux systems where a symlink-following flaw allows arbitrary file overwrites by users submitting builds to the Nix daemon running as root. This vulnerability bypasses the previous fix for CVE-2024-27297 and impacts multi-user Nix installations on sandboxed Linux builds.
تؤثر هذه الثغرة على نظام إدارة الحزم Nix في بيئات Linux المحصورة حيث يمكن لمستخدمي البناء إنشاء روابط رمزية في مسارات مؤقتة. عندما يقوم عملية Nix (التي تعمل عادة كـ root) بتسجيل مخرجات البناء، فإنها تتابع هذه الروابط الرمزية وتكتب محتويات البناء إلى مواقع تعسفية في نظام الملفات.
ثغرة حرجة في مدير حزم Nix على أنظمة Linux تسمح بالكتابة التعسفية للملفات من خلال متابعة الروابط الرمزية أثناء تسجيل مخرجات المشتقات ذات المخرجات الثابتة. يؤثر هذا على عمليات البناء المحصورة في Linux حيث يمكن لأي مستخدم يقدم عمليات بناء إلى خادم Nix تنفيذ هجمات الكتابة التعسفية.
Update Nix to the patched version immediately. Restrict build submission permissions to trusted users only in multi-user installations. Implement strict access controls on the Nix daemon and monitor for suspicious build submissions. Disable sandboxed builds temporarily if patching is delayed and implement additional file system monitoring.
قم بتحديث Nix إلى الإصدار المصحح فوراً. قيد صلاحيات تقديم البناء للمستخدمين الموثوقين فقط في التثبيتات متعددة المستخدمين. طبق عناصر تحكم وصول صارمة على خادم Nix ومراقبة تقديمات البناء المريبة. عطل عمليات البناء المحصورة مؤقتاً إذا تأخر التصحيح وطبق مراقبة نظام ملفات إضافية.