2018-1888: SpamAssassin: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2018-09-21 17:55): Neues Advisory
Version 2 (2018-11-07 11:17): Für Ubuntu 18.04 LTS, 16.04 LTS und 14.04 LTS stehen Sicherheitsupdates für 'spamassassin' bereit. Die Schwachstelle CVE-2016-1238 wird hier ebenfalls nicht erwähnt.
Version 3 (2018-11-13 17:46): Für Ubuntu 12.04 LTS (ESM) steht das zu USN-3811-1 korrespondierende Sicherheitsupdate für 'spamassassin' bereit. Hierbei wird nur die Denial-of-Service-Schwachstelle CVE-2017-15705 adressiert.
Version 4 (2018-11-14 12:17): Debian veröffentlicht für Debian Jessie (LTS) ein Sicherheitsupdate für SpamAssassin, welches die referenzierten Schwachstellen adressiert.
Version 5 (2018-12-06 12:03): Canonical veröffentlicht für Ubuntu 12.04 ESM ein weiteres Sicherheitsupdate für SpamAssassin mittels dem jetzt die Schwachstellen CVE-2018-11780 und CVE-2018-11781 behoben werden.
Version 6 (2019-07-25 11:25): Für SUSE Linux Enterprise Server und Desktop jeweils in der Version 12 SP4 stehen Sicherheitsupdates auf die SpamAssassin Version 3.4.2 zur Behebung der aufgeführten Schwachstellen zur Verfügung.
Version 7 (2019-08-07 12:42): openSUSE stellt für die Distribution openSUSE Leap 15.0 ein Sicherheitsupdate auf die SpamAssassin Version 3.4.2 zur Verfügung, um die referenzierten Schwachstellen und drei nicht sicherheitsrelevante Fehler zu beheben.

Betroffene Software

Office
Server
Sicherheit

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Eine Schwachstelle ermöglicht es einem entfernten, nicht authentisierten Angreifer, durch den Versand von speziell präparierten HTML-Emails, einen Denial-of-Service (DoS)-Zustand zu bewirken. Der Hersteller informiert darüber, dass ein Exploit für diese Schwachstelle bereits existiert, bislang aber noch nicht vorsätzlich für DoS-Angriffe eingesetzt wurde. Zwei weitere Schwachstellen ermöglichen einem entfernten, nicht authentisierten sowie einem lokalen, einfach authentifizierten Angreifer die Ausführung beliebigen Programmcodes. Eine weitere Schwachstelle könnte einem lokalen, nicht authentisierten Angreifer die Privilegieneskalation ermöglichen. Die Entwickler geben an, dass nicht klar ist, ob diese Schwachstelle tatsächlich ausgenutzt werden kann.

Das offizielle Release Apache SpamAssassin 3.4.2 steht zur Behebung der Schwachstellen bereit. Für Fedora 27 und 28 stehen Sicherheitsupdates in Form der Pakete 'spamassassin-3.4.2-2.fc27' und 'spamassassin-3.4.2-2.fc28' im Status 'testing' zur Behebung der Schwachstellen bereit. Die Schwachstelle CVE-2016-1238 wird bei Fedora nicht erwähnt.

Schwachstellen:

CVE-2016-1238

Schwachstelle in Perl ermöglicht Ausführen beliebigen Programmcodes

CVE-2017-15705

Schwachstelle in SpamAssassin ermöglicht Denial-of-Service-Angriff

CVE-2018-11780

Schwachstelle in SpamAssassin ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-11781