Der er identificeret en sårbarhed (CVE-2021-38604) i Glibc, som gør det muligt at starte nedbrud af processer i systemet ved at sende en specialdesignet besked via POSIX message queues API. Problemet er endnu ikke dukket op i distributioner, da det kun er til stede i udgivelse 2.34, udgivet for to uger siden.
Problemet er forårsaget af forkert håndtering af NOTIFY_REMOVED-data i mq_notify.c-koden, hvilket fører til NULL pointer-dereference og procesnedbrud. Interessant nok er problemet en konsekvens af en fejl i at rette en anden sårbarhed (CVE-2021-33574), rettet i Glibc 2.34-udgivelsen. Desuden, hvis den første sårbarhed var ret svær at udnytte og krævede en kombination af visse omstændigheder, så er det meget lettere at udføre et angreb ved at bruge det andet problem.
Kilde: opennet.ru