STBR: mpack.spec, flex.spec (security fixes)
Tomasz Kłoczko
kloczek w rudy.mif.pg.gda.pl
Sob, 7 Wrz 2002, 12:39:19 CEST
On Sat, 7 Sep 2002, Krzysiek Taraszka wrote:
> Security fixy,
>
> Mpack:
> ======
>
> A remote user may be able to cause an e-mail program that uses mpack/munpack
> to decode MIME-based binary files to crash or to execute arbitrary code.
> A remote user may also be able to create certain files on the system.
>
> Flex:
> =====
>
> ---> flextest.lex <---
> BOGUS aaa[insert 3000 more a's here]aaa
> %%
> a { /* example */ }
> ---> end <---
>
>
> causes a segfault:
>
> $ flex flextest.lex
> Segmentation fault
>
> This could be a potential security issue, since nmdef is an automatic
> variable defined inside a function, and hence lands up on the stack.
flex juz posedł. mpack zaraz tatże pójdzie.
Na lex/flex/yacc/byacc to ja się słabo wyznaję. Czy ktoś może odpowidzieć
czy powyzsze stwarz tylko zagrozenie dla samego programu lex czy tażee dla
dla programół które używają produktów generowanych tym narzędziem ?
kloczek
--
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*
Więcej informacji o liście dyskusyjnej pld-devel-pl