Bulletin d'alerte Debian

DSA-4615-1 spamassassin -- Mise à jour de sécurité

Date du rapport :
1er février 2020
Paquets concernés :
spamassassin
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 950258.
Dans le dictionnaire CVE du Mitre : CVE-2020-1930, CVE-2020-1931.
Plus de précisions :

Deux vulnérabilités ont été découvertes dans spamassassin, un filtre pourriels basé sur Perl effectuant des analyses de texte. Des fichiers de règles ou de configuration malveillants, éventuellement téléchargés d'un serveur de mise à jour, pourraient exécuter des commandes arbitraires selon plusieurs scénarios.

Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés dans la version 3.4.2-1~deb9u3.

Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 3.4.2-1+deb10u2.

Nous vous recommandons de mettre à jour vos paquets spamassassin.

Pour disposer d'un état détaillé sur la sécurité de spamassassin, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/spamassassin.