DFN-CERT-2016-1223 flex (The Fast Lexical Analyzer): Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora]

DFN-CERT portal at dfn-cert.de
Fri Jul 29 09:00:02 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  flex (The Fast Lexical Analyzer) >= 2.5.36
  flex (The Fast Lexical Analyzer) < 2.6.0
  

Betroffene Plattformen:

  Red Hat Fedora 23
  Red Hat Fedora 24
  


Eine Schwachstelle in flex ermöglicht einem entfernten, nicht
authentifizierten Angreifer das Durchführen eines Denial-of-Service
(DoS)-Angriffs.

Für Fedora 23 und 24 stehen Sicherheitsupdates für flex in der Version 2.6.0
im Status 'testing' bereit.


Patch:

  Fedora Security Update FEDORA-2016-8d79ade826  (Fedora 23, flex-2.6.0)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-8d79ade826>

Patch:

  Fedora Security Update FEDORA-2016-c9ad9582f7 (Fedora 24, flex-2.6.0)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-c9ad9582f7>


CVE-2016-6354: Schwachstelle in flex ermöglicht Denial-of-Service-Angriff

  In flex seit Version  2.5.36 existiert eine Schwachstellen aufgrund einer
  Änderung bestimmter Ganzzahlen-Typen zu vorzeichenlosen Ganzzahlen (Unsigned
  Integer). Dadurch ist es möglich den Wert der Variablen 'num_to_read' in der
  Funktion 'yy_get_next_buffer' größer als die Standard-Puffergröße von 16
  kBytes zu setzen. Im weiteren Programmablauf wird hierdurch das Zurücksetzen
  des Pufferspeichers unterbunden, wodurch ein Angreifer den Pufferspeicher
  zum Überlauf bringen kann (Buffer Overflow).


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1223/>

Schwachstelle CVE-2016-6354 (Red Hat):
  <https://access.redhat.com/security/cve/CVE-2016-6354>

Schwachstelle CVE-2016-6354 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6354>

Fedora Security Update FEDORA-2016-8d79ade826  (Fedora 23, flex-2.6.0):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-8d79ade826>

Fedora Security Update FEDORA-2016-c9ad9582f7 (Fedora 24, flex-2.6.0):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-c9ad9582f7>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160729/e9e97c19/attachment.bin>


More information about the Security-Announce mailing list