Glibc жүйесінде осалдық (CVE-2021-38604) анықталды, ол POSIX хабарлама кезектерінің API арқылы арнайы әзірленген хабарламаны жіберу арқылы жүйедегі процестердің бұзылуын бастауға мүмкіндік береді. Мәселе дистрибутивтерде әлі пайда болған жоқ, өйткені ол екі апта бұрын жарияланған 2.34 шығарылымында ғана бар.
Мәселе mq_notify.c кодындағы NOTIFY_REMOVED деректерінің дұрыс өңделмеуінен туындады, бұл NULL көрсеткішті жоюға және процестің бұзылуына әкеледі. Бір қызығы, мәселе Glibc 2021 шығарылымында бекітілген басқа осалдықты (CVE-33574-2.34) түзетудегі ақаудың салдары болып табылады. Оның үстіне, егер бірінші осалдықты пайдалану өте қиын болса және белгілі бір жағдайлардың үйлесімі қажет болса, екінші мәселені пайдаланып шабуыл жасау әлдеқайда оңай.
Ақпарат көзі: opennet.ru