Glibc ನಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು (CVE-2021-38604) ಗುರುತಿಸಲಾಗಿದೆ, ಇದು POSIX ಸಂದೇಶ ಕ್ಯೂಗಳ API ಮೂಲಕ ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ ಸಂದೇಶವನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ ಸಿಸ್ಟಮ್ನಲ್ಲಿ ಪ್ರಕ್ರಿಯೆಗಳ ಕುಸಿತವನ್ನು ಪ್ರಾರಂಭಿಸಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ. ಎರಡು ವಾರಗಳ ಹಿಂದೆ ಪ್ರಕಟವಾದ ಬಿಡುಗಡೆ 2.34 ರಲ್ಲಿ ಮಾತ್ರ ಸಮಸ್ಯೆ ಇರುವುದರಿಂದ ವಿತರಣೆಗಳಲ್ಲಿ ಸಮಸ್ಯೆ ಇನ್ನೂ ಕಾಣಿಸಿಕೊಂಡಿಲ್ಲ.
mq_notify.c ಕೋಡ್ನಲ್ಲಿ NOTIFY_REMOVED ಡೇಟಾದ ತಪ್ಪಾದ ನಿರ್ವಹಣೆಯಿಂದ ಸಮಸ್ಯೆ ಉಂಟಾಗುತ್ತದೆ, ಇದು NULL ಪಾಯಿಂಟರ್ ಡಿರೆಫರೆನ್ಸ್ ಮತ್ತು ಪ್ರಕ್ರಿಯೆಯ ಕುಸಿತಕ್ಕೆ ಕಾರಣವಾಗುತ್ತದೆ. ಕುತೂಹಲಕಾರಿಯಾಗಿ, ಸಮಸ್ಯೆಯು ಮತ್ತೊಂದು ದುರ್ಬಲತೆಯನ್ನು (CVE-2021-33574) ಸರಿಪಡಿಸುವಲ್ಲಿನ ದೋಷದ ಪರಿಣಾಮವಾಗಿದೆ, ಇದನ್ನು Glibc 2.34 ಬಿಡುಗಡೆಯಲ್ಲಿ ಪರಿಹರಿಸಲಾಗಿದೆ. ಇದಲ್ಲದೆ, ಮೊದಲ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವುದು ತುಂಬಾ ಕಷ್ಟಕರವಾಗಿದ್ದರೆ ಮತ್ತು ಕೆಲವು ಸಂದರ್ಭಗಳ ಸಂಯೋಜನೆಯ ಅಗತ್ಯವಿದ್ದರೆ, ಎರಡನೇ ಸಮಸ್ಯೆಯನ್ನು ಬಳಸಿಕೊಂಡು ದಾಳಿಯನ್ನು ನಡೆಸುವುದು ತುಂಬಾ ಸುಲಭ.
ಮೂಲ: opennet.ru