Im Paketmanager identifiziert (CVE-2019-18192), wodurch Code im Kontext eines anderen Benutzers ausgeführt werden kann. Das Problem tritt in Mehrbenutzer-Guix-Konfigurationen auf und wird dadurch verursacht, dass Zugriffsrechte auf das Systemverzeichnis mit Benutzerprofilen falsch festgelegt werden.
Standardmäßig werden ~/.guix-profile-Benutzerprofile als symbolische Links zum Verzeichnis /var/guix/profiles/per-user/$USER definiert. Das Problem besteht darin, dass die Berechtigungen für das Verzeichnis /var/guix/profiles/per-user/ jedem Benutzer erlauben, neue Unterverzeichnisse zu erstellen. Ein Angreifer kann ein Verzeichnis für einen anderen Benutzer erstellen, der sich noch nicht angemeldet hat, und die Ausführung seines Codes veranlassen (/var/guix/profiles/per-user/$USER ist in der PATH-Variablen vorhanden, und der Angreifer kann ausführbare Dateien platzieren in diesem Verzeichnis, das ausgeführt wird, während das Opfer läuft, anstelle von ausführbaren Systemdateien).
Source: opennet.ru