CVE-2021-27851

**Nome do software vulnerável e versões afetadas:

versões do guix-daemon anteriores à v1.2.0-75109-g94f0312546

versões do guix-daemon v0.11.0-3298-g2608e40988 e posteriores

Descrição:

Foi descoberta uma falha de segurança que pode levar à escalada de privilégios local. Ela afeta configurações multiusuário nas quais o guix-daemon é executado localmente. O ataque envolve um usuário sem privilégios criando um processo de compilação, tornando seu diretório de compilação gravável por todos, e, em seguida, criando um link físico para um arquivo de propriedade do root, como /etc/shadow, nesse diretório. Se a compilação falhar e a opção --keep-failed for usada, o daemon altera a propriedade da árvore de compilação, incluindo o link físico, para o usuário, concedendo-lhe acesso de gravação ao arquivo de destino.

Recomendações:

Para versões anteriores à v1.2.0-75109-g94f0312546, atualize para uma versão que inclua a correção para este problema.

Para versões v0.11.0-3298-g2608e40988 e posteriores, atualize para uma versão que inclua a correção para este problema.

Como solução alternativa temporária, considere restringir o uso do comando guix build com a opção --keep-failed para evitar possíveis explorações.