Am Package Manager identifizéiert (CVE-2019-18192), wat erlaabt Code am Kontext vun engem anere Benotzer auszeféieren. De Problem geschitt a Multi-User Guix Konfiguratiounen a gëtt verursaacht duerch falsch Astellungsrechter fir de Systemverzeechnes mat Benotzerprofiler.
Par défaut sinn ~/.guix-Profil Benotzerprofile definéiert als symbolesch Linken op den /var/guix/profiles/per-user/$USER Verzeichnis. De Problem ass datt d'Permissiounen am /var/guix/profiles/per-user/ Verzeichnis all Benotzer erlaben nei Ënnerverzeechnungen ze kreéieren. En Ugräifer kann e Verzeechnes fir en anere Benotzer erstellen deen nach net ageloggt ass an arrangéiert säi Code ze lafen (/var/guix/profiles/per-user/$USER ass an der PATH Variabel präsent, an den Ugräifer kann ausführbar Dateien placéieren an dësem Verzeechnes deen ausgefouert gëtt während d'Affer leeft amplaz vun ausführbare Systemdateien).
Source: opennet.ru