I pakkebehandleren identifisert (CVE-2019-18192), som gjør at kode kan kjøres i konteksten til en annen bruker. Problemet oppstår i flerbruker Guix-konfigurasjoner og er forårsaket av feil innstilling av tilgangsrettigheter til systemkatalogen med brukerprofiler.
Som standard er ~/.guix-profil brukerprofiler definert som symbolske lenker til katalogen /var/guix/profiles/per-user/$USER. Problemet er at tillatelsene i katalogen /var/guix/profiles/per-user/ lar enhver bruker opprette nye underkataloger. En angriper kan opprette en katalog for en annen bruker som ennå ikke har logget på og sørge for at koden hans kjøres (/var/guix/profiles/per-user/$USER er til stede i PATH-variabelen, og angriperen kan plassere kjørbare filer i denne katalogen som vil bli utført mens offeret kjører i stedet for kjørbare filer fra systemet).
Kilde: opennet.ru