all messages for Guix-related lists mirrored at yhetil.org
 help / color / mirror / code / Atom feed
From: "pelzflorian (Florian Pelz)" <pelzflorian@pelzflorian.de>
To: "Ludovic Courtès" <ludo@gnu.org>
Cc: 37744@debbugs.gnu.org
Subject: bug#37744: Per-user profile directory hijack (CVE-2019-17365 for Nix)
Date: Thu, 17 Oct 2019 04:58:20 +0200	[thread overview]
Message-ID: <20191017025819.ptdeqtscgphvqyw7@pelzflorian.localdomain> (raw)
In-Reply-To: <87wod4gyjq.fsf@gnu.org>

On Wed, Oct 16, 2019 at 11:39:37PM +0200, Ludovic Courtès wrote:
> I committed this with minor changes (removed “sudo”, etc.), but the
> translation corresponds to the first version of the entry.  Please feel
> free to commit changes directly to update it!
> 

Oh no, it seems my message did not get through.  I should not have
sent it off-list, how stupid of me.

----- Forwarded message from "pelzflorian (Florian Pelz)" <pelzflorian@pelzflorian.de> -----

Date: Wed, 16 Oct 2019 21:00:57 +0200
From: "pelzflorian (Florian Pelz)" <pelzflorian@pelzflorian.de>
To: Ludovic Courtès <ludo@gnu.org>
Subject: Re: bug#37744: Per-user profile directory hijack (CVE-2019-17365 for Nix)
User-Agent: NeoMutt/20180716

(Off-list.)

On Wed, Oct 16, 2019 at 07:05:44PM +0200, Ludovic Courtès wrote:
> If this is fine with you, I hereby request translation of this entry.
> :-)


(title
 […]
 (de "Sicherheitslücke in @file{/var/guix/profiles/per-user}-Berechtigungen")

 (body[…]
         (de "Das voreingestellte Benutzerprofil, @file{~/.guix-profile},
verweist auf @file{/var/guix/profiles/per-user/$USER}. Bisher hatte jeder
Benutzer Schreibzugriff auf @file{/var/guix/profiles/per-user}, wodurch der
@command{guix}-Befehl berechtigt war, das Unterverzeichnis @code{$USER}
anzulegen.

Wenn mehrere Benutzer dasselbe System benutzen, kann ein böswilliger
Benutzer so das Unterverzeichnis @code{$USER} und Dateien darin für
einen anderen Benutzer anlegen, wenn sich dieser noch nie angemeldet
hat. Weil @code{/var/…/$USER} auch in @code{$PATH} aufgeführt ist,
kann der betroffene Nutzer dazu gebracht werden, vom Angreifer
vorgegebenen Code auszuführen. Siehe
@uref{https://issues.guix.gnu.org/issue/37744} für weitere
Informationen.

Der Fehler wurde nun behoben, indem @command{guix-daemon} diese
Verzeichnisse jetzt selbst anlegt statt das dem jeweiligen
Benutzerkonto zu überlassen. Der Schreibzugriff auf @code{per-user}
wird den Benutzern entzogen. Für Systeme mit mehreren Benutzern
empfehlen wir, den Daemon jetzt zu aktualisieren. Auf einer
Fremddistribution führen Sie dazu @code{sudo guix pull} aus; auf einem
Guix-System führen Sie @code{guix pull && sudo guix system reconfigure
…} aus. Achten Sie in beiden Fällen darauf, den Dienst mit @code{herd}
oder @code{systemctl} neuzustarten.")


Thank you for your important work! :)

Regards,
Florian

----- End forwarded message -----

Regards,
Florian

  reply	other threads:[~2019-10-17  2:59 UTC|newest]

Thread overview: 34+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2019-10-14  7:47 bug#37744: Per-user profile directory hijack (CVE-2019-17365 for Nix) Ludovic Courtès
2019-10-14  7:58 ` Ludovic Courtès
2019-10-14 11:53   ` Tobias Geerinckx-Rice via Bug reports for GNU Guix
2019-10-14 16:37     ` Maxim Cournoyer
2019-10-15 12:34     ` Ludovic Courtès
2019-10-15 14:31       ` Tobias Geerinckx-Rice via Bug reports for GNU Guix
2019-10-16  6:57         ` Ludovic Courtès
2019-10-16 10:22           ` Ludovic Courtès
2019-10-16 13:25             ` Ludovic Courtès
2019-10-16 14:22               ` pelzflorian (Florian Pelz)
2019-10-16 15:16                 ` Tobias Geerinckx-Rice via Bug reports for GNU Guix
2019-10-16 15:19                   ` pelzflorian (Florian Pelz)
2019-10-16 15:23                     ` Tobias Geerinckx-Rice via Bug reports for GNU Guix
2019-10-16 17:05                       ` Ludovic Courtès
2019-10-16 19:50                         ` Tobias Geerinckx-Rice via Bug reports for GNU Guix
2019-10-16 19:55                           ` Tobias Geerinckx-Rice via Bug reports for GNU Guix
2019-10-16 21:40                             ` Ludovic Courtès
2019-10-16 21:41                             ` Ludovic Courtès
2019-10-16 19:58                         ` Julien Lepiller
2019-10-16 21:38                           ` Ludovic Courtès
2019-10-16 15:37                 ` pelzflorian (Florian Pelz)
2019-10-16 21:39                   ` Ludovic Courtès
2019-10-17  2:58                     ` pelzflorian (Florian Pelz) [this message]
2019-10-17  3:01                       ` pelzflorian (Florian Pelz)
2019-10-16 20:28               ` Ludovic Courtès
2019-10-17 16:18               ` Ludovic Courtès
2019-10-17 19:01                 ` Tobias Geerinckx-Rice via Bug reports for GNU Guix
2019-10-17 20:25                   ` Ludovic Courtès
2019-10-18  2:21                     ` Bengt Richter
2019-10-18 14:36                       ` Ludovic Courtès
2019-10-19  1:32                         ` Bengt Richter
2019-10-16 14:12             ` Tobias Geerinckx-Rice via Bug reports for GNU Guix
2019-10-16 20:01               ` Ludovic Courtès
2019-10-16 16:28             ` Julien Lepiller

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=20191017025819.ptdeqtscgphvqyw7@pelzflorian.localdomain \
    --to=pelzflorian@pelzflorian.de \
    --cc=37744@debbugs.gnu.org \
    --cc=ludo@gnu.org \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link
Be sure your reply has a Subject: header at the top and a blank line before the message body.
Code repositories for project(s) associated with this external index

	https://git.savannah.gnu.org/cgit/guix.git

This is an external index of several public inboxes,
see mirroring instructions on how to clone and mirror
all data and code used by this external index.