A ti rii awọn ailagbara ni GNU Guix, Nix, ati awọn alakoso package Lix (Nix, Guix, Lix) ti o gba koodu laaye lati ṣiṣẹ pẹlu awọn anfani ti awọn olumulo labẹ eyiti a ṣe ifilọlẹ awọn iṣẹ ṣiṣe (fun apẹẹrẹ nixbld * ni Nix / Lix), eyiti o le ṣee lo lati kọ data aṣa si agbegbe ikole ati ṣe awọn ayipada si ilana kikọ. Awọn iṣoro naa wa ninu guix-daemon ati awọn ilana isale nix-daemon ti a lo lati pese awọn olumulo ti ko ni anfani pẹlu iraye si awọn iṣẹ ṣiṣe.
Awọn ailagbara jẹ idi nipasẹ otitọ pe lakoko diẹ ninu awọn iṣẹ ṣiṣe, awọn ọna faili ni kikun ni a lo dipo awọn asọye dirfd lati wọle si awọn ilana iṣelọpọ igba diẹ, eyiti o fun laaye ni itọsọna kikọ ti o wa ni ipo-iṣakoso / tmp (fun apẹẹrẹ, “/ tmp/guix-build-PACKAGE-XYdrv-0”) lati rọpo. Lilo ti ko tọ ti dirfd ni iṣẹ piparẹ loorekoore yori si ipo ere-ije kan, nitori eyiti ikọlu le paarọ ọna asopọ aami ni akoko laarin ẹda ati iyipada ti oniwun ti itọsọna kikọ. Ninu ikọlu aṣeyọri, guix-daemon/nix-daemon yipada oniwun faili ti a koju nipasẹ ọna asopọ aami dipo iyipada olumulo fun itọsọna kikọ.
Awọn ailagbara ni a ṣeto ni Lix 2.93, Nix 2.29, ati Guix 1.4.0-38.0e79d5b. Lati lo nilokulo awọn ailagbara, ikọlu gbọdọ ni anfani lati ṣiṣẹ awọn iṣẹ kikọ lainidii. Ikọlu nipa lilo ailagbara CVE-2025-46415 nilo agbara lati ṣẹda awọn faili ni / tmp liana lori ẹrọ kikọ, lakoko ti o jẹ ailagbara CVE-2025-46416, o jẹ dandan lati ni anfani lati ṣiṣẹ koodu ni ipo ti pid akọkọ ati awọn aaye orukọ nẹtiwọọki.
orisun: opennet.ru
