Vulnérabilités dans SpamAssassin
Date de publication :
Debian a publié un bulletin annonçant la correction de deux vulnérabilités affectant SpamAssassin, un logiciel de filtre anti pourriels basé sur le langage Perl et l’analyse de texte.
CVE-2018-11805[Score CVSS v3: 9.8 ] : Dans les versions SpamAssassin antérieures à la version 3.4.3, les fichiers CF (fichiers de configuration) malveillants peuvent être configurés pour exécuter des commandes système.
CVE-2019-12420[Score CVSS v3: 7.5] : Des messages spécifiques peuvent entraîner une utilisation excessive des ressources du système lors de leur traitement. Un attaquant peut exploiter cette vulnérabilité pour effectuer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risque
- Exécution de code à distance (RCE, remote code execution)
- Déni de service
Criticité
- Score CVSS 9.8 max
Existence d’un code d‘exploitation
- Aucun
Composants vulnérables
- SpamAssassin (versions antérieures à la version 3.4.3)
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Debian fournit les recommandations suivantes pour son système d’exploitation :
- Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés dans la version 3.4.2-1~deb9u2
- Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 3.4.2-1+deb10u1
Solution de contournement
- Utiliser des fichiers CF provenant de tiers de confiance