Уязвимость в пакетном менеджере Guix, допускающая удалённое выполнение кода в системе
В пакетном менеджере Guix выявлены уязвимости (CVE не назначены) в реализации внутренней команды “guix substitute”, автоматически вызываемой фоновым процессом guix-daemon при выполнении операций установки пакетов. Команда применяется для загрузки уже собранных бинарных пакетов с внешних серверов с проверкой их целостности при помощи цифровой подписи. Наиболее опасная уязвимость позволяет удалённо организовать выполнение кода на системе пользователя с правами под которыми выполняется фоновый процесс guix-daemon. https://www.opennet.ru/opennews/art.shtml?num=65837