Säkerhetsbulletin från Debian

DSA-1020-1 flex -- buffertspill

Rapporterat den:
2006-03-28
Berörda paket:
flex
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2006-0459.
Ytterligare information:

Chris Moore upptäckte att flex, en skannergenerator, genererade kod som inte allokerar tillräckligt med minne om grammatiken innehåller REJECT-kommandon eller avslutande sammanhangsregler. Detta kunde leda till ett buffertspill och exekvering av godtycklig kod.

Om du använder kod som härstammar från en sårbar lex-grammatik i en obetrodd miljö måste du skapa din skanner på nytt med den rättade versionen av flex.

Den gamla stabila utgåvan (Woody) påverkas inte av detta problem.

För den stabila utgåvan (Sarge) har detta problem rättats i version 2.5.31-31sarge1.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.5.33-1.

Vi rekommenderar att ni uppgraderar ert flex-paket.

Rättat i:

Debian GNU/Linux 3.1 (sarge)

Källkod:
http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1.dsc
http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1.diff.gz
http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/f/flex/flex-doc_2.5.31-31sarge1_all.deb
Alpha:
http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_alpha.deb
AMD64:
http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_amd64.deb
ARM:
http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.