GLSA 200603-07: flex: Potential insecure code generation

Опасность:средняя
Заголовок:flex: Potential insecure code generation
Дата:10.03.2006
Ошибки: #122940
ID:200603-07

Сводка

flex might generate code with a buffer overflow, making applications using such scanners vulnerable to the execution of arbitrary code.

Назначение

flex is a programming tool used to generate scanners (programs which recognize lexical patterns in text).

Уязвимые пакеты

Пакет Уязвимый Нетронутый Архитектура(ы)
sys-devel/flex < 2.5.33-r1 >= 2.5.33-r1 All supported architectures

Описание

Chris Moore discovered a buffer overflow in a special class of lexicographical scanners generated by flex. Only scanners generated by grammars which use either REJECT, or rules with a "variable trailing context" might be at risk.

Воздействие

An attacker could feed malicious input to an application making use of an affected scanner and trigger the buffer overflow, potentially resulting in the execution of arbitrary code.

Обход

Avoid using vulnerable grammar in your flex scanners.

Решение

All flex users should upgrade to the latest version:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=sys-devel/flex-2.5.33-r1"

Ссылки

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200603-07.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.

Спасибо!