Glibc buvo nustatytas pažeidžiamumas (CVE-2021-38604), leidžiantis inicijuoti procesų gedimą sistemoje, siunčiant specialiai sukurtą pranešimą per POSIX pranešimų eilių API. Problema dar nepasirodė platinimuose, nes ji yra tik 2.34 versijoje, paskelbtoje prieš dvi savaites.
Problemą sukelia neteisingas NOTIFY_REMOVED duomenų tvarkymas mq_notify.c kode, dėl kurio atsiranda NULL rodyklės nuoroda ir proceso gedimas. Įdomu tai, kad problema kyla dėl klaidos taisant kitą pažeidžiamumą (CVE-2021-33574), ištaisytą Glibc 2.34 leidime. Be to, jei pirmąjį pažeidžiamumą buvo gana sunku išnaudoti ir reikėjo tam tikrų aplinkybių derinio, tada daug lengviau įvykdyti ataką naudojant antrąją problemą.
Šaltinis: opennet.ru