ప్యాకేజీ మేనేజర్లో గుర్తించారు (CVE-2019-18192), ఇది మరొక వినియోగదారు సందర్భంలో కోడ్ని అమలు చేయడానికి అనుమతిస్తుంది. సమస్య బహుళ-వినియోగదారు Guix కాన్ఫిగరేషన్లలో సంభవిస్తుంది మరియు వినియోగదారు ప్రొఫైల్లతో సిస్టమ్ డైరెక్టరీకి యాక్సెస్ హక్కులను తప్పుగా సెట్ చేయడం వలన ఏర్పడింది.
డిఫాల్ట్గా, ~/.guix-ప్రొఫైల్ వినియోగదారు ప్రొఫైల్లు /var/guix/profiles/per-user/$USER డైరెక్టరీకి సింబాలిక్ లింక్లుగా నిర్వచించబడ్డాయి. సమస్య ఏమిటంటే /var/guix/profiles/per-user/ డైరెక్టరీలోని అనుమతులు ఏ వినియోగదారునైనా కొత్త ఉప డైరెక్టరీలను సృష్టించడానికి అనుమతిస్తాయి. దాడి చేసే వ్యక్తి ఇంకా లాగిన్ చేయని మరొక వినియోగదారు కోసం డైరెక్టరీని సృష్టించవచ్చు మరియు అతని కోడ్ను అమలు చేయడానికి ఏర్పాటు చేయవచ్చు (/var/guix/profiles/per-user/$USER PATH వేరియబుల్లో ఉన్నారు మరియు దాడి చేసే వ్యక్తి ఎక్జిక్యూటబుల్ ఫైల్లను ఉంచవచ్చు. ఈ డైరెక్టరీలో సిస్టమ్ ఎక్జిక్యూటబుల్ ఫైల్లకు బదులుగా బాధితుడు రన్ అవుతున్నప్పుడు అమలు చేయబడుతుంది).
మూలం: opennet.ru