У Glibc виявлено вразливість (CVE-2021-38604), що дає можливість ініціювати крах процесів у системі через відправлення спеціально оформленого повідомлення через POSIX message queues API. У дистрибутивах проблема не встигла проявитися, оскільки є тільки у випуску 2.34, опублікованому два тижні тому.
Проблема викликана некоректною обробкою даних NOTIFY_REMOVED у коді mq_notify.c, що призводить до розіменування покажчика NULL та краху процесу. Цікаво, що проблема є наслідком недоробки при виправленні іншої уразливості (CVE-2021-33574), усуненої у випуску Glibc 2.34. При цьому якщо перша вразливість була досить важка для експлуатації і вимагала поєднання певних обставин, то зробити атаку з використанням другої проблеми значно простіше.
Джерело: opennet.ru