#37744 - Insecure permissions on /var/guix/profiles/per-user (CVE-2019-18192)

Package	Source(s)		Maintainer(s)
guix		PTS Buildd Popcon

Message #92 received at 37744@debbugs.gnu.org (full text, mbox, reply):

Received: (at 37744) by debbugs.gnu.org; 17 Oct 2019 02:58:24 +0000
From debbugs-submit-bounces@debbugs.gnu.org Wed Oct 16 22:58:24 2019
Received: from localhost ([127.0.0.1]:46881 helo=debbugs.gnu.org)
	by debbugs.gnu.org with esmtp (Exim 4.84_2)
	(envelope-from <debbugs-submit-bounces@debbugs.gnu.org>)
	id 1iKvzc-0007cj-G6
	for submit@debbugs.gnu.org; Wed, 16 Oct 2019 22:58:24 -0400
Received: from pelzflorian.de ([5.45.111.108]:39394 helo=mail.pelzflorian.de)
 by debbugs.gnu.org with esmtp (Exim 4.84_2)
 (envelope-from <pelzflorian@pelzflorian.de>) id 1iKvzZ-0007cX-PE
 for 37744@debbugs.gnu.org; Wed, 16 Oct 2019 22:58:22 -0400
Received: from pelzflorian.localdomain (unknown [5.45.111.108])
 by mail.pelzflorian.de (Postfix) with ESMTPSA id 5DD7C3604DA;
 Thu, 17 Oct 2019 04:58:20 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=pelzflorian.de;
 s=mail; t=1571281100;
 bh=SzxKnt2p0880sWE+1+zxPTvO8NsSN3rx72v/Xxkt4ao=;
 h=Date:From:To:Cc:Subject:References:In-Reply-To;
 b=CUjob5EBHZNFgiNnzidmYNzIQkqL3Gh14g0/T5An2eSni01NUqig6p1oP7VxPxPlb
 9zpc5FE16gSlxVWo1wsxHe1R1i/N1bswlCW0TRrHgVdPfNVc6CgtCat6XTCJUKD9py
 ZQFlRUHevIF9VM6Xb0bJxG+fWmW0CE+ZapJt2T2c=
Date: Thu, 17 Oct 2019 04:58:20 +0200
From: "pelzflorian (Florian Pelz)" <pelzflorian@pelzflorian.de>
To: Ludovic Courtès <ludo@gnu.org>
Subject: Re: bug#37744: Per-user profile directory hijack (CVE-2019-17365 for
 Nix)
Message-ID: <20191017025819.ptdeqtscgphvqyw7@pelzflorian.localdomain>
References: <87blujsqq0.fsf@gnu.org> <87y2xno85o.fsf@nckx>
 <87d0eyuqzd.fsf@gnu.org> <87mue2nkrj.fsf@nckx>
 <8736fttby6.fsf@gnu.org> <87tv89rnva.fsf@gnu.org>
 <878spksty3.fsf@gnu.org>
 <20191016142221.qys2y2cb4spmwscq@pelzflorian.localdomain>
 <20191016153756.xlnhk6axmg6tx35b@pelzflorian.localdomain>
 <87wod4gyjq.fsf@gnu.org>
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <87wod4gyjq.fsf@gnu.org>
User-Agent: NeoMutt/20180716
X-Spam-Score: 0.0 (/)
X-Debbugs-Envelope-To: 37744
Cc: 37744@debbugs.gnu.org
X-BeenThere: debbugs-submit@debbugs.gnu.org
X-Mailman-Version: 2.1.18
Precedence: list
List-Id: <debbugs-submit.debbugs.gnu.org>
List-Unsubscribe: <https://debbugs.gnu.org/cgi-bin/mailman/options/debbugs-submit>, 
 <mailto:debbugs-submit-request@debbugs.gnu.org?subject=unsubscribe>
List-Archive: <https://debbugs.gnu.org/cgi-bin/mailman/private/debbugs-submit/>
List-Post: <mailto:debbugs-submit@debbugs.gnu.org>
List-Help: <mailto:debbugs-submit-request@debbugs.gnu.org?subject=help>
List-Subscribe: <https://debbugs.gnu.org/cgi-bin/mailman/listinfo/debbugs-submit>, 
 <mailto:debbugs-submit-request@debbugs.gnu.org?subject=subscribe>
Errors-To: debbugs-submit-bounces@debbugs.gnu.org
Sender: "Debbugs-submit" <debbugs-submit-bounces@debbugs.gnu.org>
X-Spam-Score: -1.0 (-)

On Wed, Oct 16, 2019 at 11:39:37PM +0200, Ludovic Courtès wrote:
> I committed this with minor changes (removed “sudo”, etc.), but the
> translation corresponds to the first version of the entry.  Please feel
> free to commit changes directly to update it!
> 

Oh no, it seems my message did not get through.  I should not have
sent it off-list, how stupid of me.

----- Forwarded message from "pelzflorian (Florian Pelz)" <pelzflorian@pelzflorian.de> -----

Date: Wed, 16 Oct 2019 21:00:57 +0200
From: "pelzflorian (Florian Pelz)" <pelzflorian@pelzflorian.de>
To: Ludovic Courtès <ludo@gnu.org>
Subject: Re: bug#37744: Per-user profile directory hijack (CVE-2019-17365 for Nix)
User-Agent: NeoMutt/20180716

(Off-list.)

On Wed, Oct 16, 2019 at 07:05:44PM +0200, Ludovic Courtès wrote:
> If this is fine with you, I hereby request translation of this entry.
> :-)

(title
 […]
 (de "Sicherheitslücke in @file{/var/guix/profiles/per-user}-Berechtigungen")

 (body[…]
         (de "Das voreingestellte Benutzerprofil, @file{~/.guix-profile},
verweist auf @file{/var/guix/profiles/per-user/$USER}. Bisher hatte jeder
Benutzer Schreibzugriff auf @file{/var/guix/profiles/per-user}, wodurch der
@command{guix}-Befehl berechtigt war, das Unterverzeichnis @code{$USER}
anzulegen.

Wenn mehrere Benutzer dasselbe System benutzen, kann ein böswilliger
Benutzer so das Unterverzeichnis @code{$USER} und Dateien darin für
einen anderen Benutzer anlegen, wenn sich dieser noch nie angemeldet
hat. Weil @code{/var/…/$USER} auch in @code{$PATH} aufgeführt ist,
kann der betroffene Nutzer dazu gebracht werden, vom Angreifer
vorgegebenen Code auszuführen. Siehe
@uref{https://issues.guix.gnu.org/issue/37744} für weitere
Informationen.

Der Fehler wurde nun behoben, indem @command{guix-daemon} diese
Verzeichnisse jetzt selbst anlegt statt das dem jeweiligen
Benutzerkonto zu überlassen. Der Schreibzugriff auf @code{per-user}
wird den Benutzern entzogen. Für Systeme mit mehreren Benutzern
empfehlen wir, den Daemon jetzt zu aktualisieren. Auf einer
Fremddistribution führen Sie dazu @code{sudo guix pull} aus; auf einem
Guix-System führen Sie @code{guix pull && sudo guix system reconfigure
…} aus. Achten Sie in beiden Fällen darauf, den Dienst mit @code{herd}
oder @code{systemctl} neuzustarten.")

Thank you for your important work! :)

Regards,
Florian

----- End forwarded message -----

Regards,
Florian

Display info messages

Send a report that this bug log contains spam.

debbugs.gnu.org maintainers <help-debbugs@gnu.org>. Last modified: Sun Dec 22 11:07:35 2024; Machine Name: wallace-server

GNU bug tracking system

Debbugs is free software and licensed under the terms of the GNU Public License version 2. The current version can be obtained from https://bugs.debian.org/debbugs-source/.

#37744 Insecure permissions on /var/guix/profiles/per-user (CVE-2019-18192)