Вход на сайт

Просмотр новости

Найдите то, что Вас интересует

Уязвимость в пакетном менеджере Guix, допускающая удалённое выполнение кода в системе

Дата публикации: 03-07-2026 14:14:46

В пакетном менеджере Guix выявлены уязвимости (CVE не назначены) в реализации внутренней команды "guix substitute", автоматически вызываемой фоновым процессом guix-daemon при выполнении операций установки пакетов. Команда применяется для загрузки уже собранных бинарных пакетов с внешних серверов с проверкой их целостности при помощи цифровой подписи. Наиболее опасная уязвимость позволяет удалённо организовать выполнение кода на системе пользователя с правами под которыми выполняется фоновый процесс guix-daemon.

Основное содержимое страницы с новостью.

Guix (CVE ) "guix substitute", guix-daemon . . ̣ guix-daemon.

guix-daemon, , root . , . - ̣ "--discover", MITM-. , guix-daemon , Unix- ( ).

"restore-file", , . ".", "/" ".." ݣ . ͣ , guix-daemon.

, , , "~/.bashrc" ~/.profile, ~/.ssh/authorized_keys SSH. guix-daemon root, .

, (narinfo) (fetch-narinfos) , , . , URL , . ޣ - , , , .

"guix substitute", "restore-file" "guix offload", "guix archive --extract" "guix challenge", . "--no-substitutes" guix. Guix. guix guix-daemon.

Guix ݣ :

  • - ݣ fetch-narinfos. , .
  • URI "file://" ("--substitute-urls file:///etc/shadow"). guix-daemon root, , , , , .
  • ("../../../../newfile") "guix pull" "guix time-machine" , Scheme. DoS-, , - /proc .

Схожие новости

#Наименование новостиТональностьИнформативностьДата публикации
1В древней Linux-утилите найдена критическая «дыра», которую не замечали 11 лет. Она открывает всем желающим root-доступ. Эксплойт умещается в одну строку-2823-01-2026
2 Malicious GitHub Repositories Could Trick AI Coding Agents Into Running Hidden Malware, Researchers Warn 0728-06-2026
3Фонд СПО предупредил о критической уязвимости в хостинге свободного кода GNU Savannah0820-06-2026
4Schwachstelle in Coding-Agenten: Zugriff auf beliebige Dateien über Symlinks-2609-07-2026
5Bloomberg: спецслужба США оповестила Microsoft о выявлении уязвимости в Windows0014-01-2020
6openSUSE GStreamer-Plugins-Bad Important Out-of-Bounds DoS CVE-2026-527190503-07-2026
7SUSE Python-Lxml Moderate Local File Read Threat Update 2026-2728-10503-07-2026
8Reuters: в Boeing сообщили об обнаружении новой уязвимости в ПО лайнеров 737 MAX0017-01-2020
9SUSE Python-lxml Moderate Info Disclosure Update Advisory 2026-2729-10503-07-2026
10Раскрыты эксплоиты для 23 неисправленных уязвимостей в FFmpeg, VLC, Firefox, Docker, PHP, OpenVPN, nmap, libssh2, nghttp2 и 7zip0728-06-2026

Классификация: Общество. Схожих патентов: 0. Схожих новостей: 10. Тональность: -5. Информативность: 8. Источник: www.opennet.ru.