W menedżerze pakietów zidentyfikowane (CVE-2019-18192), który umożliwia wykonanie kodu w kontekście innego użytkownika. Problem występuje w konfiguracjach Guix z wieloma użytkownikami i jest spowodowany nieprawidłowym ustawieniem praw dostępu do katalogu systemowego z profilami użytkowników.
Domyślnie profile użytkowników ~/.guix-profile są zdefiniowane jako dowiązania symboliczne do katalogu /var/guix/profiles/per-user/$USER. Problem polega na tym, że uprawnienia do katalogu /var/guix/profiles/per-user/ pozwalają każdemu użytkownikowi na tworzenie nowych podkatalogów. Osoba atakująca może utworzyć katalog dla innego użytkownika, który jeszcze się nie zalogował, i zorganizować uruchomienie jego kodu (/var/guix/profiles/per-user/$USER jest obecny w zmiennej PATH, a osoba atakująca może umieścić pliki wykonywalne w tym katalogu, który zostanie wykonany podczas działania ofiary, zamiast systemowych plików wykonywalnych).
Źródło: opennet.ru