Vulnérabilités dans SpamAssassin

Date de publication :

Debian a publié un bulletin annonçant la correction de deux vulnérabilités affectant SpamAssassin, un logiciel de filtre anti pourriels basé sur le langage Perl et l’analyse de texte. 

CVE-2018-11805[Score CVSS v3: 9.8 ] : Dans les versions SpamAssassin antérieures à la version 3.4.3, les fichiers CF (fichiers de configuration) malveillants peuvent être configurés pour exécuter des commandes système. 

 

CVE-2019-12420[Score CVSS v3: 7.5] : Des messages spécifiques peuvent entraîner une utilisation excessive des ressources du système lors de leur traitement. Un attaquant peut exploiter cette vulnérabilité pour effectuer un déni de service.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risque

    Exécution de code à distance (RCE, remote code execution)
    Déni de service 

Criticité

    Score CVSS 9.8 max

Existence d’un code d‘exploitation

    Aucun

Composants vulnérables

    SpamAssassin (versions antérieures à la version 3.4.3)

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

Debian fournit les recommandations suivantes pour son système d’exploitation : 

  • Pour la distribution oldstable (Stretch), ces problèmes ont été corrigés dans la version 3.4.2-1~deb9u2
  • Pour la distribution stable (Buster), ces problèmes ont été corrigés dans la version 3.4.2-1+deb10u1

Solution de contournement

  • Utiliser des fichiers CF provenant de tiers de confiance

Liens