Pakete kudeatzailean identifikatu (CVE-2019-18192), kodea beste erabiltzaile baten testuinguruan exekutatzeko aukera ematen duena. Arazoa erabiltzaile anitzeko Guix konfigurazioetan gertatzen da eta erabiltzaile profilekin sistemaren direktoriorako sarbide-eskubideak gaizki ezartzeak eragiten du.
Lehenespenez, ~/.guix-profile erabiltzaile-profilak /var/guix/profiles/per-user/$USER direktoriorako esteka sinboliko gisa definitzen dira. Arazoa da /var/guix/profiles/per-user/ direktorioko baimenek edozein erabiltzaileri azpidirektorio berriak sortzeko aukera ematen diotela. Erasotzaile batek oraindik saioa hasi ez duen beste erabiltzaile baterako direktorio bat sor dezake eta bere kodea exekutatzeko antolatu (/var/guix/profiles/per-user/$USER dago PATH aldagaian, eta erasotzaileak fitxategi exekutagarriak jar ditzake. biktima exekutatzen ari den bitartean exekutatuko den direktorio honetan, sistemaren fitxategi exekutagarrien ordez).
Iturria: opennet.ru