Debians sikkerhedsbulletin
DSA-4584-1 spamassassin -- sikkerhedsopdatering
- Rapporteret den:
- 14. dec 2019
- Berørte pakker:
- spamassassin
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 946652, Fejl 946653.
I Mitres CVE-ordbog: CVE-2018-11805, CVE-2019-12420. - Yderligere oplysninger:
-
To sårbarheder blev opdaget i spamassassin, et Perl-baseret spamfilter, som anvender tekstanalyse.
- CVE-2018-11805
Ondsindede regel- og opsætningsfiler, muligvis hentet fra en opdateringsserver, kunne udføre vilkårlige kommandoer i en række tilfælde.
- CVE-2019-12420
Særligt fremstillede mulitpart-meddelelser kunne medføre at spamassassin brugte alt for mange ressourcer, medførende lammelsesangreb.
I den gamle stabile distribution (stretch), er disse problemer rettet i version 3.4.2-1~deb9u2.
I den stabile distribution (buster), er disse problemer rettet i version 3.4.2-1+deb10u1.
Vi anbefaler at du opgraderer dine spamassassin-pakker.
For detaljeret sikkerhedsstatus vedrørende spamassassin, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/spamassassin
- CVE-2018-11805