Risque
Exécution de code arbitraire à distance.
Systèmes affectés
Flex versions 2.5.52 et antérieures.
Résumé
Une vulnérabilité dans Flex permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance.
Description
Flex est un outil libre permettant la création d'analyseurs lexicaux (parsers) en langage C. Il est utilisé dans de nombreux autres logiciels libres pour y faciliter la création d'analyseurs lexicaux.Une erreur dans le fichier flex.skl permet à un utilisateur mal intentionné d'exécuter du code arbitraire à distance par le biais d'un analyseur lexical créé avec Flex et mettant en œuvre une grammaire comportant des règles utilisant la directive REJECT ou de type trailing context.
Solution
Se référer au bulletin de sécurité des éditeurs pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Liste des mises à jour Freshmeat du 22 février 2006 :
http://archives.neohapsis.com/archives/apps/freshmeat/2006-02/0022.html
- Bulletin de sécurité Gentoo GLSA-200603-07 du 14 mars 2006 :
http://www.gentoo.org/security/en/glsa/glsa-200603-07.xml
- Bulletin de sécurité Ubuntu USN-260-1 du 14 mars 2006 :
http://www.ubuntulinux.org/usn/usn-260-1
- Bulletin de sécurité Debian DSA-1020 du 28 mars 2006 :
http://www.debian.org/security/2006/dsa-1020
- Référence CVE CAN-2006-0459 :
https://www.cve.org/CVERecord?id=CAN-2006-0459