Fil-maniġer tal-pakkett identifikati (CVE-2019-18192), li jippermetti li l-kodiċi jiġi esegwit fil-kuntest ta' utent ieħor. Il-problema sseħħ f'konfigurazzjonijiet ta 'Guix multi-utenti u hija kkawżata mill-issettjar ħażin tad-drittijiet ta' aċċess għad-direttorju tas-sistema bi profili tal-utent.
B'mod awtomatiku, il-profili tal-utent ~/.guix-profile huma definiti bħala links simboliċi għad-direttorju /var/guix/profiles/per-user/$USER. Il-problema hija li l-permessi fuq id-direttorju /var/guix/profiles/per-user/ jippermettu lil kull utent joħloq sottodirettorji ġodda. Attakkant jista' joħloq direttorju għal utent ieħor li għadu ma illoggjax u jirranġa biex jaħdem il-kodiċi tiegħu (/var/guix/profiles/per-user/$USER huwa preżenti fil-varjabbli PATH, u l-attakkant jista' jpoġġi fajls eżekutibbli f'dan id-direttorju li se jiġi eżegwit waqt li l-vittma tkun qed taħdem minflok fajls eżekutibbli tas-sistema).
Sors: opennet.ru