关于Nix的描述如下：Nix是一个用于Linux和其他Unix系统的包管理器。在版本从1.11到低于版本2.18.8和低于版本2.24.8之间，`<nix/fetchurl.nix>`在处理HTTPS连接时未验证TLS证书。这可能导致在遭受中间人攻击（MITM）的情况下，连接详细信息（如完整URL或凭据）泄露。`<nix/fetchurl.nix>`也被称为内置派生构建器`builtin:fetchurl`。请注意不要与评估时函数`builtins.fetchurl`混淆，此问题并未影响该函数。如果用户具有用于身份验证的`netrc`文件，或者依赖于设置`impureEnvVars`以使用环境凭据的派生项，则他们面临泄露凭据的风险。此外，常见的首次使用信任（TOFU）技术通过指定无效哈希并从远程存储中获取它，也容易受到MITM攻击而注入任意存储对象。这也适用于不纯派生项的试验功能。请注意，在使用Nixpkgs获取新哈希而不使用假哈希方法时也可能发生这种情况，尽管该机制不是在Nix本身中实现，而是在使用固定输出派生的Nixpkgs中实现。这种行为在版本1.11中被引入，目的是使它与Nixpkgs的`pkgs.fetchurl`保持一致，并使`<nix/fetchurl.nix>`在派生构建器沙箱中工作，当时沙箱默认无法访问CA捆绑包。如今，CA捆绑包已在Linux上进行绑定挂载。这个问题已在Nix 2.18.8和2.24.8中得到修复。作为解决方案，请使用Nixpkgs中的`pkgs.fetchurl`实现（经过身份验证的）获取，并根据需要设置`impureEnvVars`和`curlOpts`。