V GLIBC byla identifikována zranitelnost (CVE-2021-38604), což umožňuje zahájit havárii procesů v systému odesláním speciálně navržené zprávy prostřednictvím API PSIX Message API. Problém se zatím v distribucích neobjevil, protože se vyskytuje pouze ve verzi 2.34, publikované před dvěma týdny.
Problém je způsoben nesprávným zpracováním dat Notify_removed v kódu MQ_Notify.C, což vede k dereferenci a nehodě nulového ukazatele. Je zajímavé, že problém je důsledkem chyby v opravě další chyby zabezpečení (CVE-2021-33574), opravené ve verzi Glibc 2.34. Navíc, pokud byla první zranitelnost docela obtížná a vyžadovala kombinaci určitých okolností, je mnohem snazší provést útok pomocí druhého problému.
Zdroj: opennet.ru