Asayomu Tech
注目★★★★Lobsters

Guix の substitute・pull に権限昇格・ファイル上書き脆弱性、全システム影響

30秒で把握

  • 1guix substitute に権限昇格・ストア破損の脆弱性 3 件・guix pull に任意ファイル上書き脆弱性 1 件確認
  • 2リモート攻撃は代替サーバー偽装・MITM で可能・HTTPS でも防止不可・ローカル攻撃はデーモン socket 接続で可能
  • 3全システム影響・即座のデーモン更新推奨・緊急パッチ待ちの間は --no-substitutes で mitigate

要約

GNU Guix のバイナリ代替機能 (guix substitute) に複数の脆弱性が確認され、リモート攻撃者は任意ファイルの書き込み・ストア破損・権限昇格をビルド デーモン権限で実行可能。CVE 割り当て待ちの 3 件の脆弱性はリモート/ローカル両方の攻撃面を持ち、HTTPS も完全には防御しない。別途 guix pull・guix time-machine に 1 件の脆弱性があり、攻撃者がチャネルファイルを制御できればファイル作成・上書きが可能。

あなたへの影響

この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。

7日間無料で読む

クレカ不要・いつでも解約

詳細を読む → 元記事へ※ 本文は元記事をご確認ください (asayomu は要約のみ提供)

関連する記事

※ 外部記事の権利は原著作者に帰属します。著作権削除要請は copyright@asayomu.jp までご連絡ください(受領確認 24h・実処理 72h 以内)。