Ġiet identifikata vulnerabbiltà (CVE-2021-38604) fi Glibc, li tagħmilha possibbli li tinbeda l-ħabta tal-proċessi fis-sistema billi jintbagħat messaġġ iddisinjat apposta permezz tal-API tal-kjuwijiet tal-messaġġi POSIX. Il-problema għadha ma dehritx fid-distribuzzjonijiet, peress li hija preżenti biss fir-rilaxx 2.34, ippubblikat ġimgħatejn ilu.
Il-problema hija kkawżata minn ġestjoni ħażina tad-dejta NOTIFY_REMOVED fil-kodiċi mq_notify.c, li twassal għal dereference tal-pointer NULL u ħabta tal-proċess. Interessanti, il-problema hija konsegwenza ta 'difett fl-iffissar ta' vulnerabbiltà oħra (CVE-2021-33574), iffissat fir-rilaxx Glibc 2.34. Barra minn hekk, jekk l-ewwel vulnerabbiltà kienet pjuttost diffiċli biex tiġi sfruttata u teħtieġ taħlita ta 'ċerti ċirkostanzi, allura huwa ħafna aktar faċli li twettaq attakk bl-użu tat-tieni problema.
Sors: opennet.ru