Glibc میں ایک کمزوری (CVE-2021-38604) کی نشاندہی کی گئی ہے، جو POSIX پیغام قطار API کے ذریعے خصوصی طور پر ڈیزائن کردہ پیغام بھیج کر سسٹم میں عمل کے کریش کو شروع کرنا ممکن بناتا ہے۔ یہ مسئلہ ابھی تک تقسیم میں ظاہر نہیں ہوا ہے، کیونکہ یہ صرف دو ہفتے قبل شائع ہونے والی ریلیز 2.34 میں موجود ہے۔
مسئلہ mq_notify.c کوڈ میں NOTIFY_REMOVED ڈیٹا کی غلط ہینڈلنگ کی وجہ سے ہوا ہے، جس کی وجہ سے NULL پوائنٹر ڈیریفرنس اور عمل کریش ہو جاتا ہے۔ دلچسپ بات یہ ہے کہ مسئلہ Glibc 2021 ریلیز میں طے شدہ ایک اور کمزوری (CVE-33574-2.34) کو ٹھیک کرنے میں ایک خامی کا نتیجہ ہے۔ مزید برآں، اگر پہلی کمزوری کا فائدہ اٹھانا کافی مشکل تھا اور اس کے لیے بعض حالات کے امتزاج کی ضرورت ہوتی ہے، تو دوسرے مسئلے کا استعمال کرتے ہوئے حملہ کرنا بہت آسان ہے۔
ماخذ: opennet.ru