Varnarleysi (CVE-2021-38604) hefur fundist í Glibc, sem gerir það mögulegt að koma af stað hrun ferla í kerfinu með því að senda sérhönnuð skilaboð í gegnum POSIX skilaboða biðraðir API. Vandamálið hefur ekki enn birst í dreifingum, þar sem það er aðeins til staðar í útgáfu 2.34, sem gefin var út fyrir tveimur vikum.
Vandamálið stafar af rangri meðhöndlun á NOTIFY_REMOVED gögnum í mq_notify.c kóðanum, sem leiðir til NULL benditilvísunar og ferli hruns. Athyglisvert er að vandamálið er afleiðing af galla við að laga annan varnarleysi (CVE-2021-33574), lagaður í Glibc 2.34 útgáfunni. Þar að auki, ef fyrsta varnarleysið var frekar erfitt að nýta og krafðist samsetningar ákveðinna aðstæðna, þá er miklu auðveldara að framkvæma árás með því að nota annað vandamálið.
Heimild: opennet.ru