Një cenueshmëri (CVE-2021-38604) është identifikuar në Glibc, e cila bën të mundur fillimin e prishjes së proceseve në sistem duke dërguar një mesazh të krijuar posaçërisht përmes API-së së radhëve të mesazheve POSIX. Problemi nuk është shfaqur ende në shpërndarje, pasi është i pranishëm vetëm në versionin 2.34, të publikuar dy javë më parë.
Problemi është shkaktuar nga trajtimi i gabuar i të dhënave NOTIFY_REMOVED në kodin mq_notify.c, duke çuar në çreferencim të treguesit NULL dhe ndërprerje të procesit. Është interesante se problemi është pasojë e një defekti në rregullimin e një cenueshmërie tjetër (CVE-2021-33574), e fiksuar në versionin Glibc 2.34. Për më tepër, nëse dobësia e parë ishte mjaft e vështirë për t'u shfrytëzuar dhe kërkonte një kombinim të rrethanave të caktuara, atëherë është shumë më e lehtë të kryhet një sulm duke përdorur problemin e dytë.
Burimi: opennet.ru