Vulnerabileco (CVE-2021-38604) estis identigita en Glibc, kiu ebligas komenci la kraŝon de procezoj en la sistemo sendante speciale desegnitan mesaĝon per la POSIX-mesaĝo queues API. La problemo ankoraŭ ne aperis en distribuoj, ĉar ĝi ĉeestas nur en eldono 2.34, publikigita antaŭ du semajnoj.
La problemo estas kaŭzita de malĝusta uzado de NOTIFY_REMOVED-datumoj en la mq_notify.c-kodo, kondukante al NULL-montrilo-malreferenco kaj proceza kraŝo. Kurioze, la problemo estas konsekvenco de difekto ripari alian vundeblecon (CVE-2021-33574), riparita en la eldono de Glibc 2.34. Krome, se la unua vundebleco estis sufiĉe malfacile ekspluatebla kaj postulis kombinaĵon de certaj cirkonstancoj, tiam estas multe pli facile fari atakon uzante la duan problemon.
fonto: opennet.ru