ಪ್ಯಾಕೇಜ್ ಮ್ಯಾನೇಜರ್ನಲ್ಲಿ ಗುರುತಿಸಲಾಗಿದೆ (CVE-2019-18192), ಇದು ಇನ್ನೊಬ್ಬ ಬಳಕೆದಾರರ ಸಂದರ್ಭದಲ್ಲಿ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. ಬಹು-ಬಳಕೆದಾರ Guix ಕಾನ್ಫಿಗರೇಶನ್ಗಳಲ್ಲಿ ಸಮಸ್ಯೆ ಉಂಟಾಗುತ್ತದೆ ಮತ್ತು ಬಳಕೆದಾರರ ಪ್ರೊಫೈಲ್ಗಳೊಂದಿಗೆ ಸಿಸ್ಟಮ್ ಡೈರೆಕ್ಟರಿಗೆ ಪ್ರವೇಶ ಹಕ್ಕುಗಳನ್ನು ತಪ್ಪಾಗಿ ಹೊಂದಿಸುವುದರಿಂದ ಉಂಟಾಗುತ್ತದೆ.
ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ, ~/.guix-ಪ್ರೊಫೈಲ್ ಬಳಕೆದಾರರ ಪ್ರೊಫೈಲ್ಗಳನ್ನು /var/guix/profiles/per-user/$USER ಡೈರೆಕ್ಟರಿಗೆ ಸಾಂಕೇತಿಕ ಲಿಂಕ್ಗಳಾಗಿ ವ್ಯಾಖ್ಯಾನಿಸಲಾಗಿದೆ. ಸಮಸ್ಯೆಯೆಂದರೆ /var/guix/profiles/per-user/ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿನ ಅನುಮತಿಗಳು ಯಾವುದೇ ಬಳಕೆದಾರರಿಗೆ ಹೊಸ ಉಪ ಡೈರೆಕ್ಟರಿಗಳನ್ನು ರಚಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. ಆಕ್ರಮಣಕಾರನು ಇನ್ನೂ ಲಾಗ್ ಇನ್ ಆಗದ ಇನ್ನೊಬ್ಬ ಬಳಕೆದಾರರಿಗಾಗಿ ಡೈರೆಕ್ಟರಿಯನ್ನು ರಚಿಸಬಹುದು ಮತ್ತು ಅವನ ಕೋಡ್ ಅನ್ನು ರನ್ ಮಾಡಲು ವ್ಯವಸ್ಥೆ ಮಾಡಬಹುದು (/var/guix/profiles/per-user/$USER PATH ವೇರಿಯೇಬಲ್ನಲ್ಲಿ ಇರುತ್ತಾನೆ, ಮತ್ತು ಆಕ್ರಮಣಕಾರರು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ಗಳನ್ನು ಇರಿಸಬಹುದು. ಈ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಸಿಸ್ಟಮ್ ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ಫೈಲ್ಗಳ ಬದಲಿಗೆ ಬಲಿಪಶು ಚಾಲನೆಯಲ್ಲಿರುವಾಗ ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ).
ಮೂಲ: opennet.ru