From mboxrd@z Thu Jan 1 00:00:00 1970 From: "pelzflorian (Florian Pelz)" Subject: bug#37744: Per-user profile directory hijack (CVE-2019-17365 for Nix) Date: Wed, 16 Oct 2019 17:37:56 +0200 Message-ID: <20191016153756.xlnhk6axmg6tx35b@pelzflorian.localdomain> References: <87o8yjsr8o.fsf@gnu.org> <87blujsqq0.fsf@gnu.org> <87y2xno85o.fsf@nckx> <87d0eyuqzd.fsf@gnu.org> <87mue2nkrj.fsf@nckx> <8736fttby6.fsf@gnu.org> <87tv89rnva.fsf@gnu.org> <878spksty3.fsf@gnu.org> <20191016142221.qys2y2cb4spmwscq@pelzflorian.localdomain> Mime-Version: 1.0 Content-Type: multipart/mixed; boundary="u3wkk65ivn337n7p" Content-Transfer-Encoding: 8bit Return-path: Received: from eggs.gnu.org ([2001:470:142:3::10]:53880) by lists.gnu.org with esmtp (Exim 4.90_1) (envelope-from ) id 1iKlND-0007iT-RD for bug-guix@gnu.org; Wed, 16 Oct 2019 11:38:05 -0400 Received: from Debian-exim by eggs.gnu.org with spam-scanned (Exim 4.71) (envelope-from ) id 1iKlNC-00030h-Hf for bug-guix@gnu.org; Wed, 16 Oct 2019 11:38:03 -0400 Received: from debbugs.gnu.org ([209.51.188.43]:37566) by eggs.gnu.org with esmtps (TLS1.0:RSA_AES_128_CBC_SHA1:16) (Exim 4.71) (envelope-from ) id 1iKlNC-00030X-E7 for bug-guix@gnu.org; Wed, 16 Oct 2019 11:38:02 -0400 Received: from Debian-debbugs by debbugs.gnu.org with local (Exim 4.84_2) (envelope-from ) id 1iKlNC-0003Rf-9P for bug-guix@gnu.org; Wed, 16 Oct 2019 11:38:02 -0400 Sender: "Debbugs-submit" Resent-Message-ID: Content-Disposition: inline In-Reply-To: <20191016142221.qys2y2cb4spmwscq@pelzflorian.localdomain> List-Id: Bug reports for GNU Guix List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , Errors-To: bug-guix-bounces+gcggb-bug-guix=m.gmane.org@gnu.org Sender: "bug-Guix" To: Ludovic =?UTF-8?Q?Court=C3=A8s?= Cc: 37744@debbugs.gnu.org --u3wkk65ivn337n7p Content-Type: text/plain; charset=us-ascii Content-Disposition: inline On Wed, Oct 16, 2019 at 04:22:21PM +0200, pelzflorian (Florian Pelz) wrote: > Why sudo guix pull? It should be without sudo, am I wrong? > The attached patch adds a German translation. Please remove the last sudo from the de translation too if you agree that it is wrong. Regards, Florian --u3wkk65ivn337n7p Content-Type: text/plain; charset=utf-8 Content-Disposition: attachment; filename="0001-nls-Update-de-translation-of-news-entries.patch" Content-Transfer-Encoding: 8bit >From 14d4d176bae1e67c627a169c881720f3f9fb3904 Mon Sep 17 00:00:00 2001 From: Florian Pelz Date: Wed, 16 Oct 2019 16:37:27 +0200 Subject: [PATCH] nls: Update 'de' translation of news entries. * etc/news.scm: Add new 'de' translation. --- etc/news.scm | 25 +++++++++++++++++++++++-- 1 file changed, 23 insertions(+), 2 deletions(-) diff --git a/etc/news.scm b/etc/news.scm index afcf5fadaa..27130092c6 100644 --- a/etc/news.scm +++ b/etc/news.scm @@ -10,7 +10,8 @@ (version 0) (entry (commit "FIXME") - (title (en "Security issue with profiles in multi-user setups")) + (title (en "Security issue with profiles in multi-user setups") + (de "Sicherheitslücke bei Profilen in Mehrbenutzersystemen")) (body (en "The default user profile, @file{~/.guix-profile}, points to @file{/var/guix/profiles/per-user/$USER}. Until now, @@ -28,7 +29,27 @@ behalf of users and removing the world-writable permissions on @code{per-user}. On multi-user systems, we recommend updating the daemon now. To do that, run @code{sudo guix pull} if you're on a foreign distro, or run @code{sudo guix pull && sudo guix system reconfigure @dots{}} on Guix -System."))) +System.") + (de "Das voreingestellte Benutzerprofil, @file{~/.guix-profile}, +verweist auf @file{/var/guix/profiles/per-user/$USER}. Bisher hatte jeder +Benutzer Schreibzugriff auf @file{/var/guix/profiles/per-user}, wodurch der +@command{guix}-Befehl berechtigt war, das Unterverzeichnis @code{$USER} +anzulegen. + +Wenn mehrere Benutzer dasselbe System benutzen, kann ein böswilliger Benutzer +so das Unterverzeichnis @code{$USER} und Dateien darin für einen anderen +Benutzer anlegen, wenn sich dieser noch nie angemeldet hat. Weil @code{$USER} +auch in @code{$PATH} aufgeführt ist, kann der betroffene Nutzer dazu gebracht +werden, vom Angreifer vorgegebenen Code auszuführen. Siehe +@uref{https://issues.guix.gnu.org/issue/37744} für weitere Informationen. + +Der Fehler wurde nun behoben, indem @command{guix-daemon} diese Verzeichnisse +jetzt selbst anlegt statt das dem jeweiligen Benutzerkonto zu überlassen. Der +Schreibzugriff auf @code{per-user} wird den Benutzern entzogen. Auf einem +System mit mehreren Benutzern empfehlen wir, den Daemon jetzt zu +aktualisieren. Auf einer Fremddistribution führen Sie dazu @code{sudo guix +pull} aus; auf einem Guix-System führen Sie @code{sudo guix pull && sudo guix +system reconfigure …} aus."))) (entry (commit "5f3f70391809f8791c55c05bd1646bc58508fa2c") (title (en "GNU C Library upgraded") -- 2.23.0 --u3wkk65ivn337n7p--