S'ha identificat una vulnerabilitat (CVE-2021-38604) a Glibc, que permet iniciar el bloqueig dels processos del sistema enviant un missatge especialment dissenyat a través de l'API de cues de missatges POSIX. El problema encara no ha aparegut a les distribucions, ja que només està present a la versió 2.34, publicada fa dues setmanes.
El problema és causat per un maneig incorrecte de les dades NOTIFY_REMOVED al codi mq_notify.c, que provoca una desreferència del punter NULL i un bloqueig del procés. Curiosament, el problema és conseqüència d'un error en la correcció d'una altra vulnerabilitat (CVE-2021-33574), solucionada a la versió de Glibc 2.34. A més, si la primera vulnerabilitat era bastant difícil d'explotar i requeria una combinació de determinades circumstàncies, llavors és molt més fàcil dur a terme un atac amb el segon problema.
Font: opennet.ru