GLSA 201701-31: flex: Potential insecure code generation
| Опасность: | средняя |
| Заголовок: | flex: Potential insecure code generation |
| Дата: | 11.01.2017 |
| Ошибки: | |
| ID: | 201701-31 |
Сводка
Flex might generate code with a buffer overflow making applications using such scanners vulnerable to the execution of arbitrary code.Назначение
flex is a programming tool used to generate scanners (programs which recognize lexical patterns in text).
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| sys-devel/flex | < 2.6.1 | >= 2.6.1 | All supported architectures |
Описание
A heap-based buffer overflow in the yy_get_next_buffer function in Flex might allow context-dependent attackers to cause a denial of service or possibly execute arbitrary code via vectors involving num_to_read.
Воздействие
Context-dependent attackers could cause a Denial of Service condition or possibly execute arbitrary code with the privileges of the process.
Обход
There is no known workaround at this time.
Решение
All flex users should upgrade to the latest version:
# emerge --sync
# emerge --ask --oneshot --verbose ">=sys-devel/flex-2.6.1"
Packages which depend on flex may need to be recompiled. Tools such as qdepends (included in app-portage/portage-utils) may assist in identifying these packages:
# emerge --oneshot --ask --verbose $(qdepends -CQ sys-devel/flex | sed
's/^/=/')
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.