Дар мудири баста муайян карда шуд (CVE-2019-18192), ки имкон медиҳад код дар контексти корбари дигар иҷро шавад. Мушкилот дар конфигуратсияҳои бисёркорбари Guix рух медиҳад ва дар натиҷаи нодуруст гузоштани ҳуқуқи дастрасӣ ба феҳристи система бо профилҳои корбар ба вуҷуд омадааст.
Бо нобаёнӣ, профилҳои корбари ~/.guix-profile ҳамчун истинодҳои рамзӣ ба феҳристи /var/guix/profiles/per-user/$USER муайян карда мешаванд. Мушкилот дар он аст, ки иҷозатҳо дар феҳристи /var/guix/profiles/per-user/ ба ҳар корбар имкон медиҳанд, ки зеркаталогҳои нав эҷод кунанд. Ҳамлагар метавонад барои корбари дигаре, ки ҳанӯз ба система надаромадааст, директория эҷод кунад ва коди худро иҷро кунад (/var/guix/profiles/per-user/$USER дар тағирёбандаи PATH мавҷуд аст ва ҳамлакунанда метавонад файлҳои иҷрошавандаро ҷойгир кунад. дар ин директория, ки ҳангоми кор кардани қурбонӣ ба ҷои файлҳои иҷрошавандаи система иҷро карда мешавад).
Манбаъ: opennet.ru