Mit dem Bugfix für den Use-after-Free-Bug in den Glibc Versionen 2.32 und 2.33 sollte ein vergleichsweise harmloser Bug beseitigt werden. Der Bugfix allerdings machte versehentlich das Ausnutzen des Problems einfacher.
Gefunden hat den versehentlich eingeschleusten Bug das Team von Tuxcare. Ein Teammitglied habe ein Problem mit der Upstream-Glibc festgestellt und herausgefunden, dass es relati einfach ist, einen Segmentierungsfehler in einem bestimmten Codepfad innerhalb der Bibliothek auszulösen, was wiederum dazu führen könne, dass die Anwendung, die die Bibliothek verwendet, abstürzt, was dann zu einem Denial-of-Service-Problem führt, schreibt das Tuxcare-Team. Und beider Untersuchung des Vorfalls habe sich herausgestellt, dass dieses Problem mit dem Upstream-Fix für den Fehler CVE-2021-33574 eingeführt worden sei.
Tuxcare habe inzwischen gemäß den Regularien sowohl die Schwachstelle als auch die Codekorrektur an das für glibc zuständige Team weitergeleitet. Der Fix für die unter CVE-2021-38604 geführte Lücke in glibc sei bereits im Upstream für Glibc integriert.





