Kerentanan (CVE-2021-38604) telah diidentifikasi di Glibc, yang memungkinkan untuk memulai terhentinya proses dalam sistem dengan mengirimkan pesan yang dirancang khusus melalui API antrian pesan POSIX. Masalahnya belum muncul di distribusinya, karena hanya ada di rilis 2.34 yang diterbitkan dua minggu lalu.
Masalah ini disebabkan oleh penanganan data NOTIFY_REMOVED yang salah dalam kode mq_notify.c, yang menyebabkan dereferensi penunjuk NULL dan proses terhenti. Menariknya, masalah ini merupakan konsekuensi dari kesalahan dalam memperbaiki kerentanan lain (CVE-2021-33574), yang diperbaiki pada rilis Glibc 2.34. Terlebih lagi, jika kerentanan pertama cukup sulit untuk dieksploitasi dan memerlukan kombinasi keadaan tertentu, maka akan lebih mudah untuk melakukan serangan menggunakan masalah kedua.
Sumber: opennet.ru