Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

Flex versions 2.5.52 et antérieures.

Résumé

Une vulnérabilité dans Flex permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.

Description

Flex est un outil libre permettant la création d'analyseurs lexicaux (parsers) en langage C. Il est utilisé dans de nombreux autres logiciels libres pour y faciliter la création d'analyseurs lexicaux.
Une erreur dans le fichier flex.skl permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance par le biais d'un analyseur lexical créé avec Flex et mettant en œuvre une grammaire comportant des règles utilisant la directive REJECT ou de type trailing context.

Solution

Se référer au bulletin de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).

Documentation