CVE-2023-36476— calamares-nixos-extensions 信息泄露漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2023-36476 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
`calamares-nixos-extensions` LUKS keyfile exposure
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
calamares-nixos-extensions provides Calamares branding and modules for NixOS, a distribution of GNU/Linux. Users of calamares-nixos-extensions version 0.3.12 and prior who installed NixOS through the graphical calamares installer, with an unencrypted `/boot`, on either non-UEFI systems or with a LUKS partition different from `/` have their LUKS key file in `/boot` as a plaintext CPIO archive attached to their NixOS initrd. A patch is available and anticipated to be part of version 0.3.13 to backport to NixOS 22.11, 23.05, and unstable channels. Expert users who have a copy of their data may, as a workaround, re-encrypt the LUKS partition(s) themselves.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
信息暴露
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
calamares-nixos-extensions 信息泄露漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
Calamares是Calamares团队的一款通用安装程序框架。 Calamares calamares-nixos-extensions 0.3.12及之前版本存在信息泄露漏洞,该漏洞源于用户通过图形 calamares 安装程序安装 NixOS时,在非 UEFI 系统上使用未加密的/boot或使用与/不同的 LUKS 分区,可以将他们的 LUKS 密钥文件/boot作为明文CPIO 存档附加到他们的 NixOS initrd 中。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
| 厂商 | 产品 | 影响版本 | CPE | 订阅 |
|---|---|---|---|---|
| NixOS | calamares-nixos-extensions | <= 0.3.12 | - |
二、漏洞 CVE-2023-36476 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2023-36476 的情报信息
请登录查看更多情报信息。
CVE-2023-36476 补丁与修复 (1)
CVE-2023-36476 厂商安全公告 (1)
CVE-2023-36476 其他参考 (1)
- https://github.com/osresearch/heads/issues/1348x_refsource_MISC
IV. Related Vulnerabilities
V. Comments for CVE-2023-36476
暂无评论