V Glibc bola identifikovaná zraniteľnosť (CVE-2021-38604), ktorá umožňuje iniciovať zrútenie procesov v systéme odoslaním špeciálne navrhnutej správy cez API pre fronty správ POSIX. Problém sa zatiaľ v distribúciách neobjavil, keďže sa vyskytuje iba vo verzii 2.34, ktorá bola zverejnená pred dvoma týždňami.
Problém je spôsobený nesprávnym spracovaním údajov NOTIFY_REMOVED v kóde mq_notify.c, čo vedie k dereferencii ukazovateľa NULL a zlyhaniu procesu. Je zaujímavé, že problém je dôsledkom chyby v oprave inej zraniteľnosti (CVE-2021-33574), opravenej vo vydaní Glibc 2.34. Navyše, ak bolo dosť ťažké zneužiť prvú zraniteľnosť a vyžadovala si súhru určitých okolností, potom je oveľa jednoduchšie vykonať útok pomocou druhého problému.
Zdroj: opennet.ru