From debbugs-submit-bounces@debbugs.gnu.org Wed Oct 16 22:58:24 2019 Received: (at 37744) by debbugs.gnu.org; 17 Oct 2019 02:58:24 +0000 Received: from localhost ([127.0.0.1]:46881 helo=debbugs.gnu.org) by debbugs.gnu.org with esmtp (Exim 4.84_2) (envelope-from ) id 1iKvzc-0007cj-G6 for submit@debbugs.gnu.org; Wed, 16 Oct 2019 22:58:24 -0400 Received: from pelzflorian.de ([5.45.111.108]:39394 helo=mail.pelzflorian.de) by debbugs.gnu.org with esmtp (Exim 4.84_2) (envelope-from ) id 1iKvzZ-0007cX-PE for 37744@debbugs.gnu.org; Wed, 16 Oct 2019 22:58:22 -0400 Received: from pelzflorian.localdomain (unknown [5.45.111.108]) by mail.pelzflorian.de (Postfix) with ESMTPSA id 5DD7C3604DA; Thu, 17 Oct 2019 04:58:20 +0200 (CEST) DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple; d=pelzflorian.de; s=mail; t=1571281100; bh=SzxKnt2p0880sWE+1+zxPTvO8NsSN3rx72v/Xxkt4ao=; h=Date:From:To:Cc:Subject:References:In-Reply-To; b=CUjob5EBHZNFgiNnzidmYNzIQkqL3Gh14g0/T5An2eSni01NUqig6p1oP7VxPxPlb 9zpc5FE16gSlxVWo1wsxHe1R1i/N1bswlCW0TRrHgVdPfNVc6CgtCat6XTCJUKD9py ZQFlRUHevIF9VM6Xb0bJxG+fWmW0CE+ZapJt2T2c= Date: Thu, 17 Oct 2019 04:58:20 +0200 From: "pelzflorian (Florian Pelz)" To: Ludovic =?utf-8?Q?Court=C3=A8s?= Subject: Re: bug#37744: Per-user profile directory hijack (CVE-2019-17365 for Nix) Message-ID: <20191017025819.ptdeqtscgphvqyw7@pelzflorian.localdomain> References: <87blujsqq0.fsf@gnu.org> <87y2xno85o.fsf@nckx> <87d0eyuqzd.fsf@gnu.org> <87mue2nkrj.fsf@nckx> <8736fttby6.fsf@gnu.org> <87tv89rnva.fsf@gnu.org> <878spksty3.fsf@gnu.org> <20191016142221.qys2y2cb4spmwscq@pelzflorian.localdomain> <20191016153756.xlnhk6axmg6tx35b@pelzflorian.localdomain> <87wod4gyjq.fsf@gnu.org> MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <87wod4gyjq.fsf@gnu.org> User-Agent: NeoMutt/20180716 X-Spam-Score: 0.0 (/) X-Debbugs-Envelope-To: 37744 Cc: 37744@debbugs.gnu.org X-BeenThere: debbugs-submit@debbugs.gnu.org X-Mailman-Version: 2.1.18 Precedence: list List-Id: List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , Errors-To: debbugs-submit-bounces@debbugs.gnu.org Sender: "Debbugs-submit" X-Spam-Score: -1.0 (-) On Wed, Oct 16, 2019 at 11:39:37PM +0200, Ludovic Courtès wrote: > I committed this with minor changes (removed “sudo”, etc.), but the > translation corresponds to the first version of the entry. Please feel > free to commit changes directly to update it! > Oh no, it seems my message did not get through. I should not have sent it off-list, how stupid of me. ----- Forwarded message from "pelzflorian (Florian Pelz)" ----- Date: Wed, 16 Oct 2019 21:00:57 +0200 From: "pelzflorian (Florian Pelz)" To: Ludovic Courtès Subject: Re: bug#37744: Per-user profile directory hijack (CVE-2019-17365 for Nix) User-Agent: NeoMutt/20180716 (Off-list.) On Wed, Oct 16, 2019 at 07:05:44PM +0200, Ludovic Courtès wrote: > If this is fine with you, I hereby request translation of this entry. > :-) (title […] (de "Sicherheitslücke in @file{/var/guix/profiles/per-user}-Berechtigungen") (body[…] (de "Das voreingestellte Benutzerprofil, @file{~/.guix-profile}, verweist auf @file{/var/guix/profiles/per-user/$USER}. Bisher hatte jeder Benutzer Schreibzugriff auf @file{/var/guix/profiles/per-user}, wodurch der @command{guix}-Befehl berechtigt war, das Unterverzeichnis @code{$USER} anzulegen. Wenn mehrere Benutzer dasselbe System benutzen, kann ein böswilliger Benutzer so das Unterverzeichnis @code{$USER} und Dateien darin für einen anderen Benutzer anlegen, wenn sich dieser noch nie angemeldet hat. Weil @code{/var/…/$USER} auch in @code{$PATH} aufgeführt ist, kann der betroffene Nutzer dazu gebracht werden, vom Angreifer vorgegebenen Code auszuführen. Siehe @uref{https://issues.guix.gnu.org/issue/37744} für weitere Informationen. Der Fehler wurde nun behoben, indem @command{guix-daemon} diese Verzeichnisse jetzt selbst anlegt statt das dem jeweiligen Benutzerkonto zu überlassen. Der Schreibzugriff auf @code{per-user} wird den Benutzern entzogen. Für Systeme mit mehreren Benutzern empfehlen wir, den Daemon jetzt zu aktualisieren. Auf einer Fremddistribution führen Sie dazu @code{sudo guix pull} aus; auf einem Guix-System führen Sie @code{guix pull && sudo guix system reconfigure …} aus. Achten Sie in beiden Fällen darauf, den Dienst mit @code{herd} oder @code{systemctl} neuzustarten.") Thank you for your important work! :) Regards, Florian ----- End forwarded message ----- Regards, Florian