Информация по безопасности / 2016 / Информация о безопасности -- DSA-3653-1 flex

Рекомендация Debian по безопасности

DSA-3653-1 flex -- обновление безопасности

Дата сообщения:

25.08.2016

Затронутые пакеты:

flex

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 832768.
В каталоге Mitre CVE: CVE-2016-6354.

Более подробная информация:

Александр Сулфриан обнаружил переполнение буфера в функции yy_get_next_buffer(), порождаемой Flex, которое может приводить к отказу в обслуживании и потенциальному выполнению кода в случае работы с данными из недоверенных источников.

Приложения, затронутые данной уязвимостью, следует собрать заново. Пакет bogofilter будет заново собран в соответствии с обновлённым пакетом flex при последующем обновлении. Отчёты об ошибках в других приложениях, подверженных этой уязвимости, добавляйте в отчёт об ошибке, указанный выше.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 2.5.39-8+deb8u1.

В тестируемом выпуске (stretch) эта проблема была исправлена в версии 2.6.1-1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.6.1-1.

Рекомендуется обновить пакеты flex.