V Glibcu je bila ugotovljena ranljivost (CVE-2021-38604), ki omogoča sprožitev zrušitve procesov v sistemu s pošiljanjem posebej oblikovanega sporočila prek API-ja za čakalne vrste sporočil POSIX. Težava se v distribucijah še ni pojavila, saj je prisotna le v izdaji 2.34, objavljeni pred dvema tednoma.
Težavo povzroča nepravilno ravnanje s podatki NOTIFY_REMOVED v kodi mq_notify.c, kar povzroči dereferenco kazalca NULL in zrušitev procesa. Zanimivo je, da je težava posledica napake pri odpravljanju druge ranljivosti (CVE-2021-33574), ki je bila odpravljena v izdaji Glibc 2.34. Poleg tega, če je bilo prvo ranljivost precej težko izkoristiti in je zahtevala kombinacijo določenih okoliščin, potem je veliko lažje izvesti napad z drugo težavo.
Vir: opennet.ru