Kerentanan (CVE-2021-38604) telah dikenal pasti dalam Glibc, yang memungkinkan untuk memulakan ranap proses dalam sistem dengan menghantar mesej yang direka khas melalui API baris gilir mesej POSIX. Masalahnya masih belum muncul dalam pengedaran, kerana ia hanya hadir dalam keluaran 2.34, diterbitkan dua minggu lalu.
Masalahnya disebabkan oleh pengendalian data NOTIFY_REMOVED yang salah dalam kod mq_notify.c, yang membawa kepada penyahrujukan penunjuk NULL dan ranap proses. Menariknya, masalahnya adalah akibat daripada kecacatan dalam membetulkan kerentanan lain (CVE-2021-33574), diperbaiki dalam keluaran Glibc 2.34. Lebih-lebih lagi, jika kelemahan pertama agak sukar untuk dieksploitasi dan memerlukan gabungan keadaan tertentu, maka lebih mudah untuk melakukan serangan menggunakan masalah kedua.
Sumber: opennet.ru