Risque
- Exécution de code arbitraire à distance
Systèmes affectés
Flex versions 2.5.52 et antérieures.
Résumé
Une vulnérabilité dans Flex permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.
Description
Flex est un outil libre permettant la création d'analyseurs lexicaux
(parsers) en langage C. Il est utilisé dans de nombreux autres logiciels
libres pour y faciliter la création d'analyseurs lexicaux.
Une erreur dans le fichier flex.skl permet à un utilisateur mal
intentionné d'exécuter du code arbitraire à distance par le biais d'un
analyseur lexical créé avec Flex et mettant en œuvre une grammaire
comportant des règles utilisant la directive REJECT ou de type trailing
context.
Solution
Se référer au bulletin de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Liste des mises à jour Freshmeat du 22 février 2006 http://archives.neohapsis.com/archives/apps/freshmeat/2006-02/0022.html
- Bulletin de sécurité Debian DSA-1020 du 28 mars 2006 : http://www.debian.org/security/2006/dsa-1020
- Bulletin de sécurité Gentoo GLSA-200603-07 du 14 mars 2006 : http://www.gentoo.org/security/en/glsa/glsa-200603-07.xml
- Bulletin de sécurité Ubuntu USN-260-1 du 14 mars 2006 : http://www.ubuntulinux.org/usn/usn-260-1