In die pakketbestuurder geïdentifiseer (CVE-2019-18192), wat toelaat dat kode in die konteks van 'n ander gebruiker uitgevoer word. Die probleem kom voor in multigebruiker Guix-konfigurasies en word veroorsaak deur die verkeerde instelling van toegangsregte tot die stelselgids met gebruikersprofiele.
By verstek word ~/.guix-profiel-gebruikersprofiele gedefinieer as simboliese skakels na die /var/guix/profiles/per-user/$USER-gids. Die probleem is dat die toestemmings op die /var/guix/profiles/per-user/ gids enige gebruiker toelaat om nuwe subgidse te skep. 'n Aanvaller kan 'n gids skep vir 'n ander gebruiker wat nog nie aangemeld het nie en reël dat sy kode loop (/var/guix/profiles/per-user/$USER is teenwoordig in die PATH-veranderlike, en die aanvaller kan uitvoerbare lêers plaas in hierdie gids wat uitgevoer sal word terwyl die slagoffer loop in plaas van stelsel-uitvoerbare lêers).
Bron: opennet.ru