В пакетном менеджере Guix выявлены уязвимости (CVE не назначены) в реализации внутренней команды "guix substitute", автоматически вызываемой фоновым процессом guix-daemon при выполнении операций установки пакетов. Команда применяется для загрузки уже собранных бинарных пакетов с внешних серверов с проверкой их целостности при помощи цифровой подписи. Наиболее опасная уязвимость позволяет удалённо организовать выполнение кода на системе пользователя с правами под которыми выполняется фоновый процесс guix-daemon.
Guix (CVE ) "guix substitute", guix-daemon . . ̣ guix-daemon.
guix-daemon, , root . , . - ̣ "--discover", MITM-. , guix-daemon , Unix- ( ).
"restore-file", , . ".", "/" ".." ݣ . ͣ , guix-daemon.
, , , "~/.bashrc" ~/.profile, ~/.ssh/authorized_keys SSH. guix-daemon root, .
, (narinfo) (fetch-narinfos) , , . , URL , . ޣ - , , , .
"guix substitute", "restore-file" "guix offload", "guix archive --extract" "guix challenge", . "--no-substitutes" guix. Guix. guix guix-daemon.
Guix ݣ :