Salta al contenuto principale

Allerta nel Software Libero: Scoperte 4 Vulnerabilità in GNU Guix, Rilasciate le Patch d'Urgenza

Inviato da tuxsa il
guix

La prima settimana di luglio 2026 si sta confermando una delle più calde e frenetiche degli ultimi anni per la sicurezza del software libero. Mentre le grandi coalizioni industriali cercano di blindare la supply chain del codice con scudi automatizzati (come i recenti progetti Akrites e Lightwell), la realtà quotidiana dei repository ci ricorda che la vigilanza e la reattività della community rimangono la nostra difesa più preziosa.

L'ultimo allarme in ordine di tempo arriva direttamente dal progetto GNU Guix — il celebre sistema di gestione dei pacchetti e distribuzione GNU/Linux basato sul paradigma funzionale (molto vicino a NixOS). Il team di sviluppo ha ufficializzato la scoperta di ben quattro vulnerabilità inattese che colpiscono i componenti chiave del sistema, con impatti che spaziano dall'escalation di privilegi da remoto alla fuga di dati locali.

Andiamo ad analizzare nel dettaglio cosa sta succedendo sotto il cofano di Guix e come mettere in sicurezza le macchine.

Il cuore della problematica risiede principalmente in tre vulnerabilità individuate all'interno dell'utility guix substitute, lo strumento deputato a scaricare i binari pre-compilati (i cosiddetti "sostituti") dai server autorizzati per velocizzare l'installazione del software.

  • Privilege Escalation da Remoto: Il rischio più grave si concretizza nel caso in cui un sistema tenti di scaricare un binario da un server di sostituzione compromesso o malevolo. La falla è sfruttabile sia tramite server configurati manualmente sia tramite quelli individuati automaticamente in rete locale con l'opzione --discover di guix-daemon. Un utente malintenzionato in posizione Man-in-the-Middle (MITM) può sfruttare il meccanismo per eseguire codice con privilegi elevati, indipendentemente dal fatto che si utilizzino connessioni cifrate HTTPS.

  • Vulnerabilità Locale: Oltre allo scenario di rete, è stata individuata una falla locale in guix substitute. Qualsiasi utente del sistema che abbia la possibilità di connettersi al socket di guix-daemon (un'impostazione attiva di default per tutti gli utenti) può sfruttare questo canale per forzare la divulgazione o l'accesso locale a file sensibili del sistema operativo.

Separatamente, il team di sicurezza ha individuato un quarto problema (il cui identificativo CVE è in via di assegnazione ufficiale) che colpisce direttamente i comandi guix pull e guix time-machine.

In questo scenario, un utente malintenzionato in grado di manipolare o controllare il file dei canali (channels file) utilizzato da questi comandi può indurre il sistema a creare o sovrascrivere arbitrariamente file all'interno del disco rigido, ovunque l'utente che sta eseguendo il comando disponga dei permessi di scrittura.

Esattamente come accaduto per DirtyClone, la reattività dell'ecosistema open source si è dimostrata fulminea. Il team di GNU Guix ha già confezionato e distribuito i correttivi nei repository ufficiali.

La raccomandazione per tutti i sysadmin, gli sviluppatori e gli appassionati che utilizzano Guix (sia come gestore di pacchetti autonomo su altre distribuzioni, sia come sistema operativo completo Guix System) è quella di aggiornare immediatamente sia il client Guix sia il demone in background eseguendo nel terminale:

guix pull

E successivamente riavviando il servizio guix-daemon tramite il gestore dei servizi del proprio sistema (ad esempio systemd o Shepherd) per rendere effettivi i fix di sicurezza su tutti i socket attivi.


La scoperta di queste falle in GNU Guix dimostra che nessun paradigma, nemmeno quello rigoroso e isolato dei gestori di pacchetti funzionali e riproducibili, è intrinsecamente immune da errori di logica o vulnerabilità strutturali. Tuttavia, la vera forza del software libero non risiede nell'infallibilità del codice, ma nella totale trasparenza con cui questi incidenti vengono gestiti. La pubblicazione immediata dei bollettini di sicurezza e il rilascio simultaneo delle patch dimostrano, ancora una volta, l'incredibile resilienza di una community che non nasconde la polvere sotto il tappeto, ma protegge attivamente i propri utenti.

Bash
guix pull
E successivamente riavviando il servizio guix-daemon tramite il gestore dei servizi del proprio sistema (ad esempio systemd o Shepherd) per rendere effettivi i fix di sicurezza su tutti i socket attivi.


La scoperta di queste falle in GNU Guix dimostra che nessun paradigma, nemmeno quello rigoroso e isolato dei gestori di pacchetti funzionali e riproducibili, è intrinsecamente immune da errori di logica o vulnerabilità strutturali. Tuttavia, la vera forza del software libero non risiede nell'infallibilità del codice, ma nella totale trasparenza con cui questi incidenti vengono gestiti. La pubblicazione immediata dei bollettini di sicurezza e il rilascio simultaneo delle patch dimostrano, ancora una volta, l'incredibile resilienza di una community che non nasconde la polvere sotto il tappeto, ma protegge attivamente i propri utenti.