Bulletin d'alerte Debian

DLA-1578-1 spamassassin -- Mise à jour de sécurité pour LTS

Date du rapport :
13 novembre 2018
Paquets concernés :
spamassassin
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 784023, Bogue 865924, Bogue 883775, Bogue 889501, Bogue 891041, Bogue 908969, Bogue 908970, Bogue 908971, Bogue 91.
Dans le dictionnaire CVE du Mitre : CVE-2016-1238, CVE-2017-15705, CVE-2018-11780, CVE-2018-11781.
Plus de précisions :

Plusieurs vulnérabilités ont été trouvés dans Spamassassin, qui pourraient conduire à l’exécution de code à distance et à une attaque de déni de service dans certaines circonstances.

  • CVE-2016-1238

    Beaucoup de programmes Perl ne suppriment pas correctement le caractère « . » (point) à la fin du tableau des répertoires include. Cela pourrait permettre à des utilisateurs locaux d’augmenter leurs droits à l'aide d'un module de cheval de Troie dans le répertoire de travail utilisé.

  • CVE-2017-15705

    Une vulnérabilité de déni de service a été identifiée, existant dans SpamAssassin d’Apache avant 3.4.2. Cette vulnérabilité survient avec certaines balises non fermées de courriels qui font que le balisage est géré incorrectement aboutissant à des arrêts d’analyse. Cela peut permettre à des courriels soigneusement contrefaits, pouvant demander plus de temps d’analyse que prévu, de conduire à un déni de service.

  • CVE-2018-11780

    Un bogue d’exécution potentielle de code à distance existe avec le greffon PDFInfo SpamAssassin d’Apache avant 3.4.2.

  • CVE-2018-11781

    SpamAssassin 3.4.2 d’Apache corrige une injection de code d’utilisateur local dans la syntaxe de règle d’élément meta.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.4.2-0+deb8u1. L’amont recommande fortement la mise à niveau vers la dernière version amont. Aussi nous suivons ces recommandations et rétroportons la version publiée comme faisant partie de la publication Stretch 9.6 qui corrige aussi plusieurs bogues critiques.

Nous vous recommandons de mettre à jour vos paquets spamassassin.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.