Glibc ir konstatēta ievainojamība (CVE-2021-38604), kas ļauj iniciēt procesu avāriju sistēmā, nosūtot īpaši izstrādātu ziņojumu, izmantojot POSIX ziņojumu rindu API. Problēma vēl nav parādījusies izplatījumos, jo tā ir tikai versijā 2.34, kas publicēta pirms divām nedēļām.
Problēmu izraisa nepareiza NOTIFY_REMOVED datu apstrāde mq_notify.c kodā, kā rezultātā rodas NULL rādītāja atsauce un procesa avārija. Interesanti, ka problēma ir radusies kļūdas dēļ citas ievainojamības (CVE-2021-33574) labošanā, kas novērsta Glibc 2.34 laidienā. Turklāt, ja pirmo ievainojamību bija diezgan grūti izmantot un bija nepieciešama noteiktu apstākļu kombinācija, tad ir daudz vieglāk veikt uzbrukumu, izmantojot otro problēmu.
Avots: opennet.ru