Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3653-1 flex

Debians sikkerhedsbulletin

DSA-3653-1 flex -- sikkerhedsopdatering

Rapporteret den:

25. aug 2016

Berørte pakker:

flex

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 832768.
I Mitres CVE-ordbog: CVE-2016-6354.

Yderligere oplysninger:

Alexander Sulfrian opdagede et bufferoverløb i funktionen yy_get_next_buffer(), som genereres af Flex, hvilket kunne medføre lammelsesangreb (denial of service) og potentielt udførelse af vilkårlig kode, hvis der blev bearbejdet data fra kilder, der ikke er tillid til.

Påvirkede applikationer skal genopbygges. bogofilter vil blive genopbygget mod den opdaterede flex i en efterfølgende opdatering. Yderligere påvirkede appliaktioner, skal rapporteres i fejlen der henvises til herover.

I den stabile distribution (jessie), er dette problem rettet i version 2.5.39-8+deb8u1.

I distributionen testing (stretch), er dette problem rettet i version 2.6.1-1.

I den ustabile distribution (sid), er dette problem rettet i version 2.6.1-1.

Vi anbefaler at du opgraderer dine flex-pakker.