Bulletin d'alerte Debian

DLA-2037-1 spamassassin -- Mise à jour de sécurité pour LTS

Date du rapport :
16 décembre 2019
Paquets concernés :
spamassassin
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 946652, Bogue 946653.
Dans le dictionnaire CVE du Mitre : CVE-2018-11805, CVE-2019-12420.
Plus de précisions :

Deux vulnérabilités ont été découvertes dans spamassassin, un filtre anti-pourriel basé sur Perl et l'analyse de texte.

  • CVE-2018-11805

    Des fichiers de règles ou de configuration malveillants, éventuellement téléchargés d'un serveur de mise à jour, pourraient exécuter des commandes arbitraires selon plusieurs scénarios.

  • CVE-2019-12420

    Des messages multi-parties contrefaits pour l'occasion peuvent faire que spamassassin utilise des ressources excessives, avec pour conséquence un déni de service.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.4.2-0+deb8u2.

Nous vous recommandons de mettre à jour vos paquets spamassassin.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.