Das NixOS-Projekt hat k\u00fcrzlich eine kritische Sicherheitsl\u00fccke in verschiedenen Versionen des Nix-Paketmanagers entdeckt, die direkt den daemon-basierten Bestandteil des Systems betrifft. Dieser Daemon ist im Wesentlichen das Herzst\u00fcck des Nix-\u00d6kosystems und erm\u00f6glicht die Verwaltung und Installation von Softwarepaketen innerhalb eines robusten und rekonstruierbaren Patchlevels. Die identifizierte Schwachstelle, die unter CVE-2026-39860 gelistet ist, besteht in der M\u00f6glichkeit, dass der Daemon-Benutzer (in NixOS root, in Mehrbenutzerinstallationen ein Nutzer mit Root-Rechten) beliebige Dateien \u00fcberschreiben kann. Dieser Fehler entstand offenbar w\u00e4hrend der Korrektur einer vorherigen Sicherheitsl\u00fccke im Jahr 2024 und zeigt die Komplexit\u00e4t solcher iterativen Prozesse auf.<\/p>\n
Im Kern des Problems liegt, dass alle Benutzer, die Builds an den Nix-Daemon \u00fcbermitteln d\u00fcrfen (\u00fcblicherweise alle Nutzer, da dies standardm\u00e4\u00dfig so konfiguriert ist), durch diese Schwachstelle beliebige Schreibvorg\u00e4nge als Root ausf\u00fchren k\u00f6nnen. Dies er\u00f6ffnet eine M\u00f6glichkeit zur Rechteausweitung und somit zu potenziellen Angriffsvektoren. Betroffen sind alle Nix-Versionen ab 2.21 sowie Patch-Releases ab Version 2.18.2 bis einschlie\u00dflich vor den gepatchten Versionen 2.34.5, 2.33.4, 2.32.7, 2.31.4, 2.30.4, 2.29.3 und 2.28.6. Es ist zu betonen, dass diese Gef\u00e4hrdung prim\u00e4r Sandbox-Konfigurationen unter Linux betrifft; Sandbox-Einstellungen auf macOS bleiben unber\u00fchrt. Die Standardkonfigurationen von NixOS sowie Systeme, die nicht vertrauensw\u00fcrdige Derivate erzeugen, sind ebenfalls in Gefahr. Lix-Benutzer hingegen sind aufgrund ihrer Architektur nicht betroffen.<\/p>\n
Das NixOS-Projekt hat umgehend Patches f\u00fcr betroffene Versionen bereitgestellt und betont die Notwendigkeit eines schnellen Updates, um das Risiko einer Ausnutzung durch Angreifer zu minimieren.<\/p>\n
Schlagw\u00f6rter: NixOS + CVE-2026-39860 + Builds<\/p>\n","protected":false},"excerpt":{"rendered":"
Das NixOS-Projekt hat k\u00fcrzlich eine kritische Sicherheitsl\u00fccke in verschiedenen Versionen des Nix-Paketmanagers entdeckt, die direkt den daemon-basierten Bestandteil des Systems betrifft. Dieser Daemon ist im Wesentlichen das Herzst\u00fcck des Nix-\u00d6kosystems und erm\u00f6glicht die Verwaltung und Installation von Softwarepaketen innerhalb eines robusten und rekonstruierbaren Patchlevels. Die identifizierte Schwachstelle, die unter CVE-2026-39860...<\/p>\n","protected":false},"author":4,"featured_media":16316,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-16317","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/16317","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=16317"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/16317\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/16316"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=16317"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=16317"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=16317"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}