Glibc ۾ هڪ خطري (CVE-2021-38604) جي نشاندهي ڪئي وئي آهي، جيڪا POSIX پيغام قطار API ذريعي خاص طور تي ڊزائين ڪيل پيغام موڪلڻ سان سسٽم ۾ عمل جي حادثي کي شروع ڪرڻ ممڪن بڻائي ٿي. مسئلو اڃا تائين تقسيم ۾ ظاهر نه ٿيو آهي، ڇاڪاڻ ته اهو صرف رليز 2.34 ۾ موجود آهي، ٻه هفتا اڳ شايع ٿيل.
مسئلو mq_notify.c ڪوڊ ۾ NOTIFY_REMOVED ڊيٽا جي غلط هينڊلنگ سبب پيدا ٿيو آهي، جنهن جي ڪري NULL پوائنٽر ڊيريفرنس ۽ پروسيس حادثو ٿيو. دلچسپ ڳالهه اها آهي ته، مسئلو هڪ ٻيو نقصان (CVE-2021-33574) کي درست ڪرڻ ۾ هڪ نقص جو نتيجو آهي، جيڪو Glibc 2.34 رليز ۾ مقرر ڪيو ويو آهي. ان کان علاوه، جيڪڏهن پهرين خطري جو استحصال ڪرڻ ڏاڍو ڏکيو هو ۽ ڪجهه خاص حالتن جي ميلاپ جي ضرورت هئي، ته پوء ٻئي مسئلي کي استعمال ڪندي حملو ڪرڻ تمام آسان آهي.
جو ذريعو: opennet.ru