پيڪيج مينيجر ۾ سڃاڻپ (CVE-2019-18192)، جيڪو ڪوڊ کي ٻئي استعمال ڪندڙ جي حوالي سان عمل ڪرڻ جي اجازت ڏئي ٿو. مسئلو ملٽي يوزر گيڪس ترتيبن ۾ ٿئي ٿو ۽ غلط طريقي سان سسٽم ڊاريڪٽري تائين رسائي جي حقن کي صارف پروفائلز سان ترتيب ڏيڻ جي ڪري ٿي.
ڊفالٽ طور، ~/.guix-profile يوزر پروفائلز کي /var/guix/profiles/per-user/$USER ڊاريڪٽري جي علامتي لنڪ طور بيان ڪيو ويو آهي. مسئلو اهو آهي ته /var/guix/profiles/per-user/ ڊاريڪٽري تي اجازتون ڪنهن به صارف کي نئين ذيلي ڊائريڪٽري ٺاهڻ جي اجازت ڏين ٿيون. هڪ حملو ڪندڙ ٻئي صارف لاءِ ڊاريڪٽري ٺاهي سگھي ٿو جيڪو اڃا لاگ ان نه ٿيو آهي ۽ ان جي ڪوڊ کي هلائڻ لاءِ ترتيب ڏئي ٿو (/var/guix/profiles/per-user/$USER PATH variable ۾ موجود آهي، ۽ حملو ڪندڙ قابل عمل فائلون رکي سگهي ٿو. هن ڊاريڪٽري ۾ جيڪو عمل ڪيو ويندو جڏهن مقتول سسٽم ايگزيڪيوٽو فائلن جي بدران هلائي رهيو آهي).
جو ذريعو: opennet.ru