Yn 'e pakketbehearder identifisearre (CVE-2019-18192), wêrtroch koade kin wurde útfierd yn 'e kontekst fan in oare brûker. It probleem komt foar yn Guix-konfiguraasjes mei meardere brûkers en wurdt feroarsake troch ferkeard ynstellen fan tagongsrjochten foar de systeemmap mei brûkersprofilen.
Standert binne ~/.guix-profyl brûkersprofilen definieare as symboalyske keppelings nei de map /var/guix/profiles/per-user/$USER. It probleem is dat de tagongsrjochten yn 'e map /var/guix/profiles/per-user/ elke brûker nije submappen meitsje kinne. In oanfaller kin in map meitsje foar in oare brûker dy't noch net oanmeld is en regelje dat syn koade útfiert (/var/guix/profiles/per-user/$USER is oanwêzich yn de PATH-fariabele, en de oanfaller kin útfierbere triemmen pleatse yn dizze map dy't sil wurde útfierd wylst it slachtoffer rint yn stee fan systeem útfierbere triemmen).
Boarne: opennet.ru