Glibc に脆弱性 (CVE-2021-38604) が確認されました。この脆弱性により、POSIX メッセージ キュー API 経由で特別に設計されたメッセージを送信することにより、システム内のプロセスのクラッシュが開始される可能性があります。この問題は 2.34 週間前に公開されたリリース XNUMX にのみ存在するため、まだディストリビューションには現れていません。
この問題は、mq_notify.c コード内の NOTIFY_REMOVED データの不適切な処理が原因で発生し、NULL ポインターの逆参照とプロセスのクラッシュが発生します。興味深いことに、この問題は、Glibc 2021 リリースで修正された別の脆弱性 (CVE-33574-2.34) を修正する際の欠陥の結果です。さらに、最初の脆弱性が悪用するのが非常に難しく、特定の状況の組み合わせが必要な場合は、XNUMX 番目の問題を利用して攻撃を実行する方がはるかに簡単です。
出所: オープンネット.ru