Glibcis on tuvastatud haavatavus (CVE-2021-38604), mis võimaldab käivitada süsteemis protsesside krahhi, saates POSIX sõnumijärjekordade API kaudu spetsiaalselt loodud sõnumi. Distributsioonides pole probleem veel ilmnenud, kuna see esineb ainult kaks nädalat tagasi avaldatud versioonis 2.34.
Probleemi põhjustab NOTIFY_REMOVED andmete vale käsitsemine koodis mq_notify.c, mis põhjustab NULL-i osuti viitamise ja protsessi krahhi. Huvitaval kombel on probleem teise haavatavuse (CVE-2021-33574) parandamise vea tagajärg, mis on parandatud versioonis Glibc 2.34. Veelgi enam, kui esimest haavatavust oli üsna raske ära kasutada ja see nõudis teatud asjaolude kombinatsiooni, siis on teise probleemi abil rünnak palju lihtsam.
Allikas: opennet.ru