Tandoor Recipes - это менеджер рецептов, который может быть установлен с менеджером пакетов Nix. Начиная с версии 23.05 и до версии 26.05, …

Tandoor Recipes - это менеджер рецептов, который может быть установлен с менеджером пакетов Nix. Начиная с версии 23.05 и до версии 26.05, при использовании конфигурации Tandoor по умолчанию, в частности с использованием SQLite и по умолчанию `MEDIA_ROOT`, полный файл базы данных может быть внешне доступным, потенциально в Интернете. Суть в том, что модуль NixOS конфигурирует рабочий каталог Tandoor Recipes, а также значение `MEDIA_ROOT`, чтобы быть `/var/lib/tandoor-recipes`. Это заставляет Tandoor Recipes создавать свой `db.sqlite3` файл базы данных в том же каталоге, что и `MEDIA_ROOT`, заставляя его быть доступным без аутентификации через HTTP, как и любой другой медиафайл. Это имеет тот случай при использовании `GUNICORN_MEDIA=1` или при использовании веб-сервера, такого как nginx, для обслуживания медиафайлов. NixOS 26.05 изменяет значение по умолчанию `MEDIA_ROOT` в подопечную каталога данных. Это касается только конфигураций с `system.stateVersion` >= 26.05. Для более старых конфигураций следует применять один из обходных путей. NixOS 25.11 получил обратную связь этого патча, хотя он не исправляет эту уязвимость без вмешательства пользователя. Рекомендуемый обходной путь заключается в перемещении `MEDIA_ROOT` в подкаталог. Нерекомендуемые обходные пути включают переход на PostgreSQL или запрет на доступ к `db.sqlite3`.