ในตัวจัดการแพ็คเกจ ระบุ (CVE-2019-18192) ซึ่งอนุญาตให้เรียกใช้โค้ดในบริบทของผู้ใช้รายอื่น ปัญหาเกิดขึ้นในการกำหนดค่า Guix แบบผู้ใช้หลายคน และเกิดจากการตั้งค่าสิทธิ์การเข้าถึงไดเรกทอรีระบบด้วยโปรไฟล์ผู้ใช้อย่างไม่ถูกต้อง
ตามค่าดีฟอลต์ โปรไฟล์ผู้ใช้ ~/.guix-profile ถูกกำหนดเป็นลิงก์สัญลักษณ์ไปยังไดเร็กทอรี /var/guix/profiles/per-user/$USER ปัญหาคือสิทธิ์ในไดเร็กทอรี /var/guix/profiles/per-user/ อนุญาตให้ผู้ใช้สร้างไดเร็กทอรีย่อยใหม่ได้ ผู้โจมตีสามารถสร้างไดเร็กทอรีสำหรับผู้ใช้รายอื่นที่ยังไม่ได้เข้าสู่ระบบและจัดการให้โค้ดของเขาทำงาน (/var/guix/profiles/per-user/$USER มีอยู่ในตัวแปร PATH และผู้โจมตีสามารถวางไฟล์ปฏิบัติการได้ ในไดเร็กทอรีนี้ซึ่งจะถูกดำเนินการในขณะที่เหยื่อกำลังทำงานแทนไฟล์ปฏิบัติการของระบบ)
ที่มา: opennet.ru