Pakešu pārvaldniekā identificēts (CVE-2019-18192), kas ļauj izpildīt kodu cita lietotāja kontekstā. Problēma rodas vairāku lietotāju Guix konfigurācijās, un to izraisa nepareizi iestatītas piekļuves tiesības sistēmas direktorijam ar lietotāju profiliem.
Pēc noklusējuma ~/.guix-profile lietotāju profili ir definēti kā simboliskas saites uz direktoriju /var/guix/profiles/per-user/$USER. Problēma ir tāda, ka direktorija /var/guix/profiles/per-user/ atļaujas ļauj jebkuram lietotājam izveidot jaunus apakšdirektorijus. Uzbrucējs var izveidot direktoriju citam lietotājam, kurš vēl nav pieteicies, un organizēt viņa koda palaišanu (/var/guix/profiles/per-user/$USER atrodas mainīgajā PATH, un uzbrucējs var ievietot izpildāmos failus šajā direktorijā, kas tiks izpildīts, kamēr upuris darbojas, nevis sistēmas izpildāmos failus).
Avots: opennet.ru