'n Kwesbaarheid (CVE-2021-38604) is in Glibc geïdentifiseer, wat dit moontlik maak om die ineenstorting van prosesse in die stelsel te inisieer deur 'n spesiaal ontwerpte boodskap via die POSIX message queues API te stuur. Die probleem het nog nie in verspreidings verskyn nie, aangesien dit slegs teenwoordig is in vrystelling 2.34, wat twee weke gelede gepubliseer is.
Die probleem word veroorsaak deur die verkeerde hantering van NOTIFY_REMOVED-data in die mq_notify.c-kode, wat lei tot NULL-wyserverwysing en prosesongeluk. Interessant genoeg is die probleem 'n gevolg van 'n fout in die regstelling van 'n ander kwesbaarheid (CVE-2021-33574), opgelos in die Glibc 2.34-vrystelling. Verder, as die eerste kwesbaarheid redelik moeilik was om te ontgin en 'n kombinasie van sekere omstandighede vereis het, dan is dit baie makliker om 'n aanval uit te voer met die tweede probleem.
Bron: opennet.ru