パッケージマネージャーで 特定された (CVE-2019-18192)、別のユーザーのコンテキストでコードを実行できるようになります。 この問題はマルチユーザー Guix 構成で発生し、ユーザー プロファイルを使用してシステム ディレクトリへのアクセス権を誤って設定したことが原因で発生します。
デフォルトでは、~/.guix-profile ユーザー プロファイルは、/var/guix/profiles/per-user/$USER ディレクトリへのシンボリック リンクとして定義されます。 問題は、/var/guix/profiles/per-user/ ディレクトリに対する権限により、どのユーザーでも新しいサブディレクトリを作成できることです。 攻撃者は、まだログインしていない別のユーザー用のディレクトリを作成し、そのユーザーのコードを実行できるように手配できます (/var/guix/profiles/per-user/$USER が PATH 変数に存在し、攻撃者は実行可能ファイルを配置できます)このディレクトリでは、システム実行可能ファイルの代わりに被害者の実行中に実行されます)。
出所: オープンネット.ru