Nan manadjè pake a idantifye (CVE-2019-18192), ki pèmèt kòd yo dwe egzekite nan kontèks yon lòt itilizatè. Pwoblèm lan rive nan konfigirasyon Guix milti-itilizatè epi li se koze pa kòrèk mete dwa aksè nan anyè sistèm lan ak pwofil itilizatè.
Pa default, ~/.guix-profile pwofil itilizatè yo defini kòm lyen senbolik ki mennen nan /var/guix/profiles/per-user/$USER anyè. Pwoblèm lan se ke otorizasyon yo sou /var/guix/profiles/per-user/ anyè pèmèt nenpòt itilizatè yo kreye nouvo sous-dosye. Yon atakè ka kreye yon anyè pou yon lòt itilizatè ki poko konekte epi fè aranjman pou kòd li a kouri (/var/guix/profiles/per-user/$USER prezan nan varyab PATH, epi atakè a ka mete dosye ègzèkutabl nan anyè sa a ki pral egzekite pandan viktim nan ap kouri olye pou yo sistèm ègzèkutabl dosye).
Sous: opennet.ru