Mae bregusrwydd (CVE-2021-38604) wedi'i nodi yn Glibc, sy'n ei gwneud hi'n bosibl cychwyn damwain prosesau yn y system trwy anfon neges a ddyluniwyd yn arbennig trwy'r API ciwiau neges POSIX. Nid yw'r broblem wedi ymddangos mewn dosraniadau eto, gan mai dim ond yn natganiad 2.34 y mae'n bresennol, a gyhoeddwyd bythefnos yn ôl.
Mae'r broblem wedi'i hachosi gan drin data NOTIFY_REMOVED yn anghywir yn y cod mq_notify.c, gan arwain at atgyfeiriad pwyntydd NULL a chwalfa broses. Yn ddiddorol, mae'r broblem yn ganlyniad i ddiffyg wrth drwsio bregusrwydd arall (CVE-2021-33574), a sefydlir yn natganiad Glibc 2.34. Ar ben hynny, os oedd y bregusrwydd cyntaf yn eithaf anodd i'w ecsbloetio ac yn gofyn am gyfuniad o rai amgylchiadau, yna mae'n llawer haws cynnal ymosodiad gan ddefnyddio'r ail broblem.
Ffynhonnell: opennet.ru