Nix, 심각한 보안 취약점 발견! 즉시 패치하세요.

Nix daemon에서 발생하는 임의 파일 덮어쓰기(Arbitrary File Overwrites) 취약점은 샌드박스 환경에서 root 권한 획득으로 이어질 수 있다. 특히, `allowed-users` 설정을 통해 빌드 권한을 부여받은 모든 사용자가 악용 가능하며, 이는 시스템 전체의 보안을 위협한다. CVE-2026-39860으로 식별된 이 문제는, 기존 CVE-2024-27297의 패치 과정에서 발생했으며, 2.31..2.34 버전의 패치에는 협력적인 고정 출력 파생(fixed-output derivations) 간의 통신 및 파일 디스크립터 전달을 방지하는 추가적인 완화 기능이 포함되었다.

Lix는 CVE-2024-27297에 대한 다른 접근 방식을 취함으로써, 해당 취약점의 영향을 받지 않는다. 이는 CppNix가 취약점 해결을 위해 구현한 방식과 근본적인 차이를 보인다. 데이터 격리 아키텍처(Data Isolation Architecture) 측면에서 Lix는 CppNix와 다른 설계를 채택하여, 보안 취약점의 영향을 최소화했다. 이러한 차이는 Nix 생태계 내에서 보안 강화(Security Hardening)를 위한 다양한 접근 방식의 중요성을 시사한다.

커뮤니티에서는 패치 적용 여부와 특정 브랜치의 안전성을 확인하는 방법에 대한 질문이 쏟아졌다. 이에 대한 해결책으로, 커밋 해시를 기반으로 각 브랜치의 상태를 확인할 수 있는 웹 서버 구축 아이디어가 제안되었다. 이 아이디어는 지속적인 보안 업데이트(Continuous Security Updates)의 필요성을 강조하며, 개발자들이 자신의 시스템이 최신 패치로 보호받고 있는지 쉽게 확인할 수 있도록 돕는다. 또한, 취약점 관리(Vulnerability Management)의 중요성을 보여준다.

NixOS의 `nixos-25.11` 및 `nixos-unstable` 브랜치에는 아직 패치가 적용되지 않았다는 점에 유의해야 한다. 따라서, 해당 브랜치를 사용하는 사용자들은 `release-25.11` 브랜치를 사용하거나, Lix로 전환하는 것을 고려해야 한다. 하지만, `release-XX.YY` 브랜치는 아직 hydra에 의해 빌드되지 않으므로, 로컬 컴파일이 필요할 수 있다. 보안 패치(Security Patch) 적용을 위해, 시스템 설정을 올바르게 업데이트하는 것이 중요하다.