From mboxrd@z Thu Jan  1 00:00:00 1970
From: "pelzflorian (Florian Pelz)" <pelzflorian@pelzflorian.de>
Subject: bug#37744: Per-user profile directory hijack (CVE-2019-17365 for Nix)
Date: Wed, 16 Oct 2019 17:37:56 +0200
Message-ID: <20191016153756.xlnhk6axmg6tx35b@pelzflorian.localdomain>
References: <87o8yjsr8o.fsf@gnu.org> <87blujsqq0.fsf@gnu.org>
 <87y2xno85o.fsf@nckx> <87d0eyuqzd.fsf@gnu.org>
 <87mue2nkrj.fsf@nckx> <8736fttby6.fsf@gnu.org>
 <87tv89rnva.fsf@gnu.org> <878spksty3.fsf@gnu.org>
 <20191016142221.qys2y2cb4spmwscq@pelzflorian.localdomain>
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="u3wkk65ivn337n7p"
Content-Transfer-Encoding: 8bit
Return-path: <bug-guix-bounces+gcggb-bug-guix=m.gmane.org@gnu.org>
Received: from eggs.gnu.org ([2001:470:142:3::10]:53880)
 by lists.gnu.org with esmtp (Exim 4.90_1)
 (envelope-from <Debian-debbugs@debbugs.gnu.org>) id 1iKlND-0007iT-RD
 for bug-guix@gnu.org; Wed, 16 Oct 2019 11:38:05 -0400
Received: from Debian-exim by eggs.gnu.org with spam-scanned (Exim 4.71)
 (envelope-from <Debian-debbugs@debbugs.gnu.org>) id 1iKlNC-00030h-Hf
 for bug-guix@gnu.org; Wed, 16 Oct 2019 11:38:03 -0400
Received: from debbugs.gnu.org ([209.51.188.43]:37566)
 by eggs.gnu.org with esmtps (TLS1.0:RSA_AES_128_CBC_SHA1:16)
 (Exim 4.71) (envelope-from <Debian-debbugs@debbugs.gnu.org>)
 id 1iKlNC-00030X-E7
 for bug-guix@gnu.org; Wed, 16 Oct 2019 11:38:02 -0400
Received: from Debian-debbugs by debbugs.gnu.org with local (Exim 4.84_2)
 (envelope-from <Debian-debbugs@debbugs.gnu.org>) id 1iKlNC-0003Rf-9P
 for bug-guix@gnu.org; Wed, 16 Oct 2019 11:38:02 -0400
Sender: "Debbugs-submit" <debbugs-submit-bounces@debbugs.gnu.org>
Resent-Message-ID: <handler.37744.B37744.157124028013236@debbugs.gnu.org>
Content-Disposition: inline
In-Reply-To: <20191016142221.qys2y2cb4spmwscq@pelzflorian.localdomain>
List-Id: Bug reports for GNU Guix <bug-guix.gnu.org>
List-Unsubscribe: <https://lists.gnu.org/mailman/options/bug-guix>,
 <mailto:bug-guix-request@gnu.org?subject=unsubscribe>
List-Archive: <https://lists.gnu.org/archive/html/bug-guix>
List-Post: <mailto:bug-guix@gnu.org>
List-Help: <mailto:bug-guix-request@gnu.org?subject=help>
List-Subscribe: <https://lists.gnu.org/mailman/listinfo/bug-guix>,
 <mailto:bug-guix-request@gnu.org?subject=subscribe>
Errors-To: bug-guix-bounces+gcggb-bug-guix=m.gmane.org@gnu.org
Sender: "bug-Guix" <bug-guix-bounces+gcggb-bug-guix=m.gmane.org@gnu.org>
To: Ludovic =?UTF-8?Q?Court=C3=A8s?= <ludo@gnu.org>
Cc: 37744@debbugs.gnu.org


--u3wkk65ivn337n7p
Content-Type: text/plain; charset=us-ascii
Content-Disposition: inline

On Wed, Oct 16, 2019 at 04:22:21PM +0200, pelzflorian (Florian Pelz) wrote:
> Why sudo guix pull?  It should be without sudo, am I wrong?
> 

The attached patch adds a German translation.  Please remove the last
sudo from the de translation too if you agree that it is wrong.

Regards,
Florian

--u3wkk65ivn337n7p
Content-Type: text/plain; charset=utf-8
Content-Disposition: attachment; filename="0001-nls-Update-de-translation-of-news-entries.patch"
Content-Transfer-Encoding: 8bit

>From 14d4d176bae1e67c627a169c881720f3f9fb3904 Mon Sep 17 00:00:00 2001
From: Florian Pelz <pelzflorian@pelzflorian.de>
Date: Wed, 16 Oct 2019 16:37:27 +0200
Subject: [PATCH] nls: Update 'de' translation of news entries.

* etc/news.scm: Add new 'de' translation.
---
 etc/news.scm | 25 +++++++++++++++++++++++--
 1 file changed, 23 insertions(+), 2 deletions(-)

diff --git a/etc/news.scm b/etc/news.scm
index afcf5fadaa..27130092c6 100644
--- a/etc/news.scm
+++ b/etc/news.scm
@@ -10,7 +10,8 @@
  (version 0)
 
  (entry (commit "FIXME")
-        (title (en "Security issue with profiles in multi-user setups"))
+        (title (en "Security issue with profiles in multi-user setups")
+               (de "Sicherheitslücke bei Profilen in Mehrbenutzersystemen"))
         (body
          (en "The default user profile, @file{~/.guix-profile}, points to
 @file{/var/guix/profiles/per-user/$USER}.  Until now,
@@ -28,7 +29,27 @@ behalf of users and removing the world-writable permissions on
 @code{per-user}.  On multi-user systems, we recommend updating the daemon now.
 To do that, run @code{sudo guix pull} if you're on a foreign distro, or run
 @code{sudo guix pull && sudo guix system reconfigure @dots{}} on Guix
-System.")))
+System.")
+         (de "Das voreingestellte Benutzerprofil, @file{~/.guix-profile},
+verweist auf @file{/var/guix/profiles/per-user/$USER}. Bisher hatte jeder
+Benutzer Schreibzugriff auf @file{/var/guix/profiles/per-user}, wodurch der
+@command{guix}-Befehl berechtigt war, das Unterverzeichnis @code{$USER}
+anzulegen.
+
+Wenn mehrere Benutzer dasselbe System benutzen, kann ein böswilliger Benutzer
+so das Unterverzeichnis @code{$USER} und Dateien darin für einen anderen
+Benutzer anlegen, wenn sich dieser noch nie angemeldet hat. Weil @code{$USER}
+auch in @code{$PATH} aufgeführt ist, kann der betroffene Nutzer dazu gebracht
+werden, vom Angreifer vorgegebenen Code auszuführen. Siehe
+@uref{https://issues.guix.gnu.org/issue/37744} für weitere Informationen.
+
+Der Fehler wurde nun behoben, indem @command{guix-daemon} diese Verzeichnisse
+jetzt selbst anlegt statt das dem jeweiligen Benutzerkonto zu überlassen. Der
+Schreibzugriff auf @code{per-user} wird den Benutzern entzogen. Auf einem
+System mit mehreren Benutzern empfehlen wir, den Daemon jetzt zu
+aktualisieren. Auf einer Fremddistribution führen Sie dazu @code{sudo guix
+pull} aus; auf einem Guix-System führen Sie @code{sudo guix pull && sudo guix
+system reconfigure …} aus.")))
 
  (entry (commit "5f3f70391809f8791c55c05bd1646bc58508fa2c")
         (title (en "GNU C Library upgraded")
-- 
2.23.0


--u3wkk65ivn337n7p--