ГлавнаяБаза уязвимостей БДУ → BDU:2024-04383
7.6высокая

BDU:2024-04383

Уязвимость функции nimble refresh менеджера пакетов Nimble языка программирования Nim, позволяющая нарушителю реализовать атаку типа «человек посередине» или выполнить произвольный код
Опубликовано: 2024-06-05
Описание

Уязвимость функции nimble refresh менеджера пакетов Nimble языка программирования Nim связана с отсутствием проверки загружаемых пакетов в результате ошибки процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, реализовать атаку типа «человек посередине» или выполнить произвольный код путем загрузки вредоносных пакетов

Затрагиваемое ПО и версии
Nim (до 1.2.10)Nim (от 1.4.0 до 1.4.4)Nimble (до 0.12.0 включительно)
Способ устранения

Использование рекомендаций:
Для Nimble:
https://github.com/nim-lang/nimble/blob/master/changelog.markdown#0130
https://github.com/nim-lang/nimble/commit/61e014458c41f46934ba7158a092b369c171949c

Для Nim:
https://github.com/nim-lang/Nim/pull/16940
https://github.com/nim-lang/Nim/releases/tag/v1.4.4
https://github.com/nim-lang/Nim/releases/tag/v1.2.10

Оценка CVSS
Балл7.6 — высокая опасность
Источники и патчи
https://consensys.net/diligence/vulnerabilities/nim-insecure-ssl-tls-defaults-remote-code-execution/https://github.com/nim-lang/Nim/pull/16940https://github.com/nim-lang/nimble/blob/master/changelog.markdown#0130https://github.com/nim-lang/security/security/advisories/GHSA-c2wm-v66h-xhxxhttps://nim-lang.org/1.0.0/httpclient.htmlhttps://nimble.directory/about.html
Проверьте безопасность своего сайта и почты → Полная проверка домена