En sårbarhet (CVE-2021-38604) er identifisert i Glibc, som gjør det mulig å starte krasj av prosesser i systemet ved å sende en spesialdesignet melding via POSIX message queues API. Problemet har ennå ikke dukket opp i distribusjoner, siden det bare er til stede i utgave 2.34, publisert for to uker siden.
Problemet er forårsaket av feil håndtering av NOTIFY_REMOVED-data i mq_notify.c-koden, noe som fører til NULL-pekerdereference og prosesskrasj. Interessant nok er problemet en konsekvens av en feil i å fikse en annen sårbarhet (CVE-2021-33574), rettet i Glibc 2.34-utgivelsen. Dessuten, hvis den første sårbarheten var ganske vanskelig å utnytte og krevde en kombinasjon av visse omstendigheter, er det mye lettere å utføre et angrep ved å bruke det andre problemet.
Kilde: opennet.ru