Paketihalduris tuvastatud (CVE-2019-18192), mis võimaldab koodi käivitada teise kasutaja kontekstis. Probleem ilmneb mitme kasutajaga Guixi konfiguratsioonides ja selle põhjuseks on kasutajaprofiilidega süsteemikataloogi juurdepääsuõiguste ebaõige seadistamine.
Vaikimisi on ~/.guix-profiili kasutajaprofiilid defineeritud sümboolsete linkidena kataloogi /var/guix/profiles/per-user/$USER. Probleem on selles, et kataloogis /var/guix/profiles/per-user/ olevad õigused võimaldavad igal kasutajal luua uusi alamkatalooge. Ründaja saab luua kataloogi teisele kasutajale, kes pole veel sisse loginud ja korraldada tema koodi käitamise (/var/guix/profiles/per-user/$USER on PATH muutujas ja ründaja saab paigutada käivitatavaid faile selles kataloogis, mis käivitatakse süsteemi käivitatavate failide asemel ohvri töötamise ajal).
Allikas: opennet.ru