Paket menecerində müəyyən edilmişdir (CVE-2019-18192), kodun başqa istifadəçinin kontekstində icrasına imkan verir. Problem çox istifadəçili Guix konfiqurasiyalarında baş verir və istifadəçi profilləri ilə sistem qovluğuna giriş hüquqlarının səhv təyin edilməsindən qaynaqlanır.
Varsayılan olaraq, ~/.guix-profil istifadəçi profilləri /var/guix/profiles/per-user/$USER kataloquna simvolik keçidlər kimi müəyyən edilir. Problem ondadır ki, /var/guix/profiles/per-user/ kataloqundakı icazələr istənilən istifadəçiyə yeni alt kataloqlar yaratmağa imkan verir. Təcavüzkar hələ daxil olmamış digər istifadəçi üçün kataloq yarada və kodunun işləməsini təşkil edə bilər (/var/guix/profiles/per-user/$USER PATH dəyişənində mövcuddur və təcavüzkar icra edilə bilən faylları yerləşdirə bilər. sistem icra edilə bilən faylları əvəzinə qurban işləyərkən icra ediləcək bu kataloqda).
Mənbə: opennet.ru