Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3653-1 flex

Bulletin d'alerte Debian

DSA-3653-1 flex -- Mise à jour de sécurité

Date du rapport :

25 août 2016

Paquets concernés :

flex

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 832768.
Dans le dictionnaire CVE du Mitre : CVE-2016-6354.

Plus de précisions :

Alexander Sulfrian a découvert un dépassement de tampon dans la fonction yy_get_next_buffer() générée par Flex, qui peut avoir pour conséquence un déni de service et éventuellement l'exécution de code lors du traitement de données à partir de sources non fiables.

Les applications affectées doivent être reconstruites. Bogofilter sera reconstruit avec la version mise à jour de flex dans une mise à jour complémentaire. Les applications plus profondément affectées devraient être signalées sur le bogue référencé ci-dessus.

Pour la distribution stable (Jessie), ce problème a été corrigé dans la version 2.5.39-8+deb8u1.

Pour la distribution testing (Stretch), ce problème a été corrigé dans la version 2.6.1-1.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.6.1-1.

Nous vous recommandons de mettre à jour vos paquets flex.