A GNU Project funkcionális csomagkezelője, a GNU Guix négy biztonsági sebezhetőséget hozott nyilvánosságra, amelyek a csomagkezelés néhány alapvető parancsát érintik.
A csapat tájékoztatása szerint az újonnan azonosított problémák a guix substitute, a guix pull és a guix time-machine parancsokat érintik, a CVE-azonosítókat a cikk írásakor még nem osztották ki.
A legfőbb kockázat a guix substitute körül van, ezt a segédprogramot a guix-daemon használja az előre lefordított bináris helyettesítések letöltésére. A négy sebezhetőségből három ezt a substitute mechanizmust érinti. A hatás jelentős, mert távoli kihasználásra is lehetőség nyílhat, ha egy érintett rendszer bináris helyettesítést próbál letölteni.
A biztonsági összefoglaló szerint ezt egy beállított substitute szerver is kihasználhatja, beleértve azokat is, amelyeket a guix-daemon --discover opciója talál meg, illetve egy man-in-the-middle támadó is, függetlenül attól, hogy a substitute szerver URL-jeihez HTTPS-t használnak-e.

Néhány esetben helyi kihasználás is lehetséges. Ehhez a guix-daemon sockethez való hozzáférés kell, amelyet a Guix alapértelmezés szerint elérhetővé tesz a helyi felhasználók számára.
A negyedik sebezhetőség a guix pull és a guix time-machine parancsokat érinti. Ezeket a Guix frissítésére, illetve adott Guix revíziók reprodukálására vagy használatára alkalmazzák. A probléma a csatornafájlokhoz kapcsolódik, és lehetővé teheti, hogy egy ilyen fájlt irányító támadó olyan fájlokat hozzon létre vagy írjon felül, amelyekhez az érintett felhasználónak írási joga van.
A Guix felhasználóknak nyomatékosan javasolják, hogy mielőbb végezzenek frissítést a guix és a guix-daemon komponensekre is. Mivel a guix-daemon az a rendszer szolgáltatás, amely a csomagbuildet és a substitute kezelését végzi, sok rendszeren nem elég csak a felhasználói parancsot frissíteni.
Jelenleg úgy tűnik, a sebezhetőségekhez még nem rendeltek CVE-számokat, ezért a felhasználóknak és rendszergazdáknak a hivatalos Guix biztonsági közleményt érdemes követniük a legfrissebb állapot és a mérséklési lépések miatt.
További részletekért lásd a hivatalos bejelentést.

