 fox
II/IDEC networks :: lor.opennet :: / Уязвимость в обработчике GitHub Actions, позволявшая скомпрометировать пакеты в Nixpkgs
|
Login |
[#]
Уязвимость в обработчике GitHub Actions, позволявшая скомпрометировать пакеты в Nixpkgs
robot(spnet, 1) — All
2025-10-16 09:44:03
Раскрыты сведения об уязвимостях в обработчиках GitHub Actions, автоматически вызываемых при отправке pull-запросов в репозиторий пакетов Nixpkgs, применяемый в дистрибутиве NixOS и в экосистеме, связанной с пакетным менеджером Nix. Уязвимость позволяла постороннему извлечь токен, предоставляющий доступ на запись и чтение к исходному коду всех пакетов, размещённых в Nixpkgs. Данный токен позволял напрямую вносить изменения в любой пакет через Git-репозиторий проекта, в обход процессов проверки и рецензирования изменений.
https://www.opennet.ru/opennews/art.shtml?num=64059
robot(spnet, 1) — All
2025-10-16 09:44:03
Раскрыты сведения об уязвимостях в обработчиках GitHub Actions, автоматически вызываемых при отправке pull-запросов в репозиторий пакетов Nixpkgs, применяемый в дистрибутиве NixOS и в экосистеме, связанной с пакетным менеджером Nix. Уязвимость позволяла постороннему извлечь токен, предоставляющий доступ на запись и чтение к исходному коду всех пакетов, размещённых в Nixpkgs. Данный токен позволял напрямую вносить изменения в любой пакет через Git-репозиторий проекта, в обход процессов проверки и рецензирования изменений.
https://www.opennet.ru/opennews/art.shtml?num=64059