Pakettihalduris tuvastatud (CVE-2019-18192), mis võimaldab koodi täitev konteksti teise kasutaja nimel. Probleem ilmneb multi-kasutaja konfiguratsioonides Guix ja on põhjustatud vale juurdepääsuõiguste seadistamisest kasutajaprofiilide süsteem katalogis.
Vaikimisi kasutajaprofiilid ~/.guix-profile määratakse sümboolsete linkidena katalooge /var/guix/profiles/per-user/$USER. Probleemiks on see, et juurdepääsuõigused kataloogis /var/guix/profiles/per-user/ võimaldavad mis tahes kasutajal luua uusi alakaustu. Ründaja võib luua katalooge teise kasutaja jaoks, kes pole veel süsteemi sisenenud, ja korraldada oma koodi täitmise (/var/guix/profiles/per-user/$USER on PATH muutuja sees, ja ründaja võib sinna paigutada täidetavad failid, mis täidetakse ohvri protsessi raames, mitte süsteemi täidetavate failidega).
Allikas: opennet.ru
