A csomagkezelőben azonosított (CVE-2019-18192), amely lehetővé teszi a kód futtatását egy másik felhasználó környezetében. A probléma többfelhasználós Guix konfigurációkban jelentkezik, és a felhasználói profilokkal rendelkező rendszerkönyvtárhoz való hozzáférési jogok helytelen beállítása okozza.
Alapértelmezés szerint a ~/.guix-profile felhasználói profilok szimbolikus hivatkozások a /var/guix/profiles/per-user/$USER könyvtárra. A probléma az, hogy a /var/guix/profiles/per-user/ könyvtár engedélyei minden felhasználó számára lehetővé teszik új alkönyvtárak létrehozását. A támadó létrehozhat egy könyvtárat egy másik felhasználó számára, aki még nem jelentkezett be, és gondoskodhat a kódja futtatásáról (a /var/guix/profiles/per-user/$USER szerepel a PATH változóban, és a támadó végrehajtható fájlokat helyezhet el ebben a könyvtárban, amely végrehajtásra kerül, miközben az áldozat fut, a rendszer végrehajtható fájlok helyett).
Forrás: opennet.ru
