Säkerhetsbulletin från Debian

DSA-4584-1 spamassassin -- säkerhetsuppdatering

Rapporterat den:
2019-12-14
Berörda paket:
spamassassin
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 946652, Fel 946653.
I Mitres CVE-förteckning: CVE-2018-11805, CVE-2019-12420.
Ytterligare information:

Två sårbarheter har upptäckts i spamassassin, ett Perl-baserat spamfilter som använder sig av textanalys.

  • CVE-2018-11805

    Illasinnade regler eller konfigurationsfiler, möjligen häntade från en uppdateringsserver kunde exekvera godtyckliga kommandon under flera scenarier.

  • CVE-2019-12420

    Secifikt skapade flerdelade meddelanden kan orsaka spamassassin att använda överdrivet stora resurser, vilket resulterar i överbelastning.

För den gamla stabila utgåvan (Stretch) har dessa problem rättats i version 3.4.2-1~deb9u2.

För den stabila utgåvan (Buster) har dessa problem rättats i version 3.4.2-1+deb10u1.

Vi rekommenderar att ni uppgraderar era spamassassin-paket.

För detaljerad säkerhetsstatus om spamassassin vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/spamassassin