Bulletin d'alerte Debian

DLA-2062-1 sa-exim -- Mise à jour de sécurité pour LTS

Date du rapport :
9 janvier 2020
Paquets concernés :
sa-exim
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 946829.
Dans le dictionnaire CVE du Mitre : CVE-2019-19920.
Plus de précisions :

Il a été découvert que sa-exim, le filtre de SpamAssassin pour Exim, permet à des attaquants d’exécuter du code arbitraire si des utilisateurs sont autorisés à exécuter des règles personnalisées. Un problème similaire a été corrigé dans dans spamassassin, CVE-2018-11805, qui causait une régression de fonction dans sa-exim. Cette mise à jour restaure la compatibilité entre spamassassin et sa-exim. Les implications de sécurité de la fonction de mise en liste grise sont expliquées dans /usr/share/doc/sa-exim/README.greylisting.gz.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 4.2.1-14+deb8u1.

Nous vous recommandons de mettre à jour vos paquets sa-exim.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.