Debians sikkerhedsbulletin

DSA-4584-1 spamassassin -- sikkerhedsopdatering

Rapporteret den:
14. dec 2019
Berørte pakker:
spamassassin
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 946652, Fejl 946653.
I Mitres CVE-ordbog: CVE-2018-11805, CVE-2019-12420.
Yderligere oplysninger:

To sårbarheder blev opdaget i spamassassin, et Perl-baseret spamfilter, som anvender tekstanalyse.

  • CVE-2018-11805

    Ondsindede regel- og opsætningsfiler, muligvis hentet fra en opdateringsserver, kunne udføre vilkårlige kommandoer i en række tilfælde.

  • CVE-2019-12420

    Særligt fremstillede mulitpart-meddelelser kunne medføre at spamassassin brugte alt for mange ressourcer, medførende lammelsesangreb.

I den gamle stabile distribution (stretch), er disse problemer rettet i version 3.4.2-1~deb9u2.

I den stabile distribution (buster), er disse problemer rettet i version 3.4.2-1+deb10u1.

Vi anbefaler at du opgraderer dine spamassassin-pakker.

For detaljeret sikkerhedsstatus vedrørende spamassassin, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/spamassassin