تم التعرف على ثغرة أمنية (CVE-2021-38604) في Glibc، مما يجعل من الممكن بدء تعطل العمليات في النظام عن طريق إرسال رسالة مصممة خصيصًا عبر واجهة برمجة تطبيقات قوائم انتظار الرسائل POSIX. المشكلة لم تظهر بعد في التوزيعات، فهي موجودة فقط في الإصدار 2.34 الذي صدر قبل أسبوعين.
سبب المشكلة هو المعالجة غير الصحيحة لبيانات NOTIFY_REMOVED في التعليمات البرمجية mq_notify.c، مما يؤدي إلى عدم مرجعية المؤشر NULL وتعطل العملية. ومن المثير للاهتمام أن المشكلة هي نتيجة لخلل في إصلاح ثغرة أمنية أخرى (CVE-2021-33574)، تم إصلاحها في إصدار Glibc 2.34. علاوة على ذلك، إذا كان من الصعب جدًا استغلال الثغرة الأمنية الأولى وتتطلب مجموعة من الظروف المعينة، فمن الأسهل بكثير تنفيذ هجوم باستخدام المشكلة الثانية.
المصدر: opennet.ru