Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3653-1 flex

Säkerhetsbulletin från Debian

DSA-3653-1 flex -- säkerhetsuppdatering

Rapporterat den:

2016-08-25

Berörda paket:

flex

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 832768.
I Mitres CVE-förteckning: CVE-2016-6354.

Ytterligare information:

Alexander Sulfrian upptäckte ett buffertspill i funktionen yy_get_next_buffer() som genererats av Flex, vilket kan leda till överbelastning och potentiellt körning av kod om man behandlar data från opålitliga källor.

Påverkade applikationer måste byggas om, bogofilter kommer att byggas om mot en uppdaterad flex i en kommande uppdatering. Ytterligare påverkade applikationer skall rapporteras vid felet som refereras ovan.

För den stabila utgåvan (Jessie) har detta problem rättats i version 2.5.39-8+deb8u1.

För uttestningsutgåvan (Stretch) har detta problem rättats i version 2.6.1-1.

För den instabila utgåvan (Sid) har detta problem rättats i version 2.6.1-1.

Vi rekommenderar att ni uppgraderar era flex-paket.