GNU Guix: Вразливості в управлінні пакетами та новини
Вразливості в GNU Guix: Швидке оновлення необхідне
GNU Guix, функціональний менеджер пакетів проекту GNU, виявив чотири вразливості безпеки, які стосуються деяких його основних команд управління пакетами.
Вразливості в команді guix
За інформацією команди, нові вразливості впливають на guix substitute, guix pull та guix time-machine. Ідентифікатори CVE наразі ще не присвоєні.
Основна проблема стосується команди guix substitute, що використовується guix-daemon для завантаження попередньо зібраних двійкових замінників. Три з чотирьох вразливостей стосуються цього механізму заміни. Вплив є значним, оскільки експлуатація можливе віддалено, якщо вразлива система намагається завантажити двійковий замінник.
Шляхи експлуатації вразливостей
Згідно з підсумком попередження, цю уразливість можуть зловживати налаштовані сервери заміни. Це стосується також серверів, які виявляються через опцію --discover в guix-daemon, або атакуючий «людина посередині», незалежно від того, використовується HTTPS для URL-адрес серверів заміни.
Місцева експлуатація також можливе у деяких випадках. Для цього необхідний доступ до сокета guix-daemon, який Guix за замовчуванням надає локальним користувачам.
Вразливість у guix pull та guix time-machine
Четверта вразливість стосується команд guix pull та guix time-machine. Ці команди використовуються для оновлення самого Guix та для відтворення чи переходу до конкретних версій Guix. Проблема пов’язана з файловими каналами і може дозволити зловмиснику, який контролює такий файл, створювати або перезаписувати файли, де уражений користувач має права на запис.
Рекомендації щодо оновлення GNU Guix
Користувачам Guix настійно рекомендується якомога швидше оновити як guix, так і guix-daemon. Оскільки guix-daemon є системною службою, що забезпечує побудову пакетів і обробку замін, просто оновлення команди, доступної користувачеві, може бути недостатнім на уражених установках.
На даний момент вразливості, схоже, не мають присвоєних номерів CVE, тому користувачам та адміністраторам слід ознайомитися з офіційним попередженням безпеки Guix для отримання останньої інформації та деталей щодо усунення.
Для отримання додаткової інформації, перегляньте офіційне оголошення.




