主要观点：在guix-daemon中发现了本地用户可获取构建用户权限并操纵构建输出的安全漏洞CVE-2024-52867，尤其对多用户系统和使用专用特权分离用户的系统风险增加，已通过两个提交修复，用户应更新到第二个提交以受保护，同时给出了升级和缓解措施，包括运行guix gc、限制对守护进程套接字的访问等，还提供了概念验证代码用于检查系统是否易受攻击。
关键信息：

• 漏洞可让攻击者获取构建用户权限并操纵构建输出，包括失败和成功的构建输出。
• 修复措施是在将失败构建输出移动到存储之前清理其权限，成功构建输出在权限规范化后再移动。
• 对于 Guix System，重新配置系统后重启guix-daemon或重启；其他发行版需sudo guix pull后重启guix-daemon服务。
  重要细节：
• guix-daemon长期以来将失败构建的输出放在同一位置，通过简单rename实现，这导致攻击者可获取未更改的二进制文件。
• 当--disable-chroot传递给guix-daemon时，易出现提交者利用构建用户获取权限的情况。
• 提供的概念验证代码通过创建带有 setuid 位的文件并检查其权限来判断系统是否易受攻击。