Er is een kwetsbaarheid (CVE-2021-38604) geïdentificeerd in Glibc, die het mogelijk maakt om het crashen van processen in het systeem te initiëren door een speciaal ontworpen bericht te verzenden via de POSIX-berichtenwachtrijen-API. Het probleem is nog niet in distributies verschenen, omdat het alleen aanwezig is in release 2.34, die twee weken geleden is gepubliceerd.
Het probleem wordt veroorzaakt door onjuiste verwerking van NOTIFY_REMOVED-gegevens in de mq_notify.c-code, wat leidt tot NULL pointer-dereferentie en procescrash. Interessant genoeg is het probleem een gevolg van een fout in het oplossen van een andere kwetsbaarheid (CVE-2021-33574), opgelost in de Glibc 2.34-release. Als de eerste kwetsbaarheid bovendien vrij moeilijk te exploiteren was en een combinatie van bepaalde omstandigheden vereiste, dan is het veel gemakkelijker om een aanval uit te voeren met behulp van het tweede probleem.
Bron: opennet.ru