Glibc-da zaiflik (CVE-2021-38604) aniqlandi, bu POSIX xabarlar navbati API orqali maxsus ishlab chiqilgan xabarni yuborish orqali tizimdagi jarayonlarning ishdan chiqishini boshlash imkonini beradi. Muammo hali tarqatishda paydo bo'lmadi, chunki u faqat ikki hafta oldin chop etilgan 2.34 versiyasida mavjud.
Muammo mq_notify.c kodidagi NOTIFY_REMOVED ma'lumotlarini noto'g'ri ishlatish natijasida yuzaga keladi, bu esa NULL ko'rsatkichni yo'qotishga va jarayonning ishdan chiqishiga olib keladi. Qizig'i shundaki, muammo Glibc 2021 versiyasida o'rnatilgan boshqa zaiflikni (CVE-33574-2.34) tuzatishdagi nuqson oqibatidir. Bundan tashqari, agar birinchi zaiflikdan foydalanish juda qiyin bo'lsa va ma'lum holatlarning kombinatsiyasini talab qilsa, ikkinchi muammodan foydalangan holda hujumni amalga oshirish osonroq bo'ladi.
Manba: opennet.ru