Идентификувана е ранливост (CVE-2021-38604) во Glibc, што овозможува да се иницира паѓање на процесите во системот со испраќање специјално дизајнирана порака преку API за редици за пораки POSIX. Проблемот сè уште не се појавил во дистрибуциите, бидејќи е присутен само во изданието 2.34, објавено пред две недели.
Проблемот е предизвикан од неправилно ракување со податоците NOTIFY_REMOVED во кодот mq_notify.c, што доведува до дереференција на покажувачот NULL и паѓање на процесот. Интересно, проблемот е последица на пропуст во поправање на друга ранливост (CVE-2021-33574), фиксирана во изданието Glibc 2.34. Покрај тоа, ако првата ранливост беше доста тешко да се искористи и бараше комбинација од одредени околности, тогаш е многу полесно да се изврши напад користејќи го вториот проблем.
Извор: opennet.ru