Säkerhetsbulletin från Debian
DSA-1020-1 flex -- buffertspill
- Rapporterat den:
- 2006-03-28
- Berörda paket:
- flex
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2006-0459.
- Ytterligare information:
-
Chris Moore upptäckte att flex, en skannergenerator, genererade kod som inte allokerar tillräckligt med minne om grammatiken innehåller REJECT-kommandon eller avslutande sammanhangsregler. Detta kunde leda till ett buffertspill och exekvering av godtycklig kod.
Om du använder kod som härstammar från en sårbar lex-grammatik i en obetrodd miljö måste du skapa din skanner på nytt med den rättade versionen av flex.
Den gamla stabila utgåvan (Woody) påverkas inte av detta problem.
För den stabila utgåvan (Sarge) har detta problem rättats i version 2.5.31-31sarge1.
För den instabila utgåvan (Sid) har detta problem rättats i version 2.5.33-1.
Vi rekommenderar att ni uppgraderar ert flex-paket.
- Rättat i:
-
Debian GNU/Linux 3.1 (sarge)
- Källkod:
- http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1.dsc
- http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1.diff.gz
- http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31.orig.tar.gz
- http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/f/flex/flex-doc_2.5.31-31sarge1_all.deb
- Alpha:
- http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/f/flex/flex_2.5.31-31sarge1_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.