In kwetsberens (CVE-2021-38604) is identifisearre yn Glibc, wat it mooglik makket om de crash fan prosessen yn it systeem te begjinnen troch in spesjaal ûntworpen berjocht te ferstjoeren fia de POSIX-berjochtenwachtrige API. It probleem is noch net ferskynd yn distribúsjes, om't it allinich oanwêzich is yn release 2.34, publisearre twa wiken lyn.
It probleem wurdt feroarsake troch ferkearde ôfhanneling fan NOTIFY_REMOVED-gegevens yn 'e mq_notify.c-koade, wat liedt ta NULL-oanwizer dereference en proses-crash. Ynteressant is it probleem in gefolch fan in flater by it reparearjen fan in oare kwetsberens (CVE-2021-33574), fêst yn 'e Glibc 2.34-release. Boppedat, as de earste kwetsberens frijwat lestich wie om te eksploitearjen en in kombinaasje fan bepaalde omstannichheden easke, dan is it folle makliker om in oanfal út te fieren mei it twadde probleem.
Boarne: opennet.ru