2019-2636: SpamAssassin: Zwei Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

Historie:

Version 1 (2019-12-16 13:22)

Neues Advisory

Version 2 (2019-12-16 16:43)

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate auf Version 3.4.2-0+deb8u2 bereit, um die Schwachstellen zu beheben.

Version 3 (2020-01-14 11:22)

Für Ubuntu 16.04 LTS, Ubuntu 18.04 LTS, Ubuntu 19.04 und Ubuntu 19.10 stehen Sicherheitsupdates von 'spamassassin' bereit, um die Schwachstellen zu schließen.

Version 4 (2020-01-15 14:22)

Canonical stellt für Ubuntu 14.04 ESM und Ubuntu 12.04 ESM zu USN-4237-1 korrespondierende Sicherheitsupdates von 'spamassassin' bereit, um die Schwachstellen zu schließen.

Version 5 (2020-09-30 11:05)

Für die Red Hat Enterprise Linux Produkte Server, Workstation und Desktop 7 stehen Sicherheitsupdates zur Behebung der Schwachstelle CVE-2019-12420 in 'spamassassin' bereit. Diese Updates werden im Zusammenhang mit der Veröffentlichung von Red Hat Enterprise Linux 7.9 zur Verfügung gestellt.

Version 6 (2020-10-07 11:52)

Für Oracle Linux 7 steht analog zu RHSA-2020:3973 ein Sicherheitsupdate zur Behebung der Schwachstelle CVE-2019-12420 in 'spamassassin' bereit.

Betroffene Software

Office
Server
Sicherheit

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle

Beschreibung:

Eine Schwachstelle ermöglicht einem entfernten Angreifer die Durchführung eines Denial-of-Service (DoS)-Angriffs. Eine weitere Schwachstelle ermöglicht einem lokalen Angreifer mit erweiterten Rechten die Ausführung beliebigen Programmcodes mit den Rechten des betroffenen Dienstes.

Das offizielle Release Apache SpamAssassin 3.4.3 steht zur Behebung der Schwachstellen bereit.

Für Fedora 30 und 31 stehen Sicherheitsupdates in Form der Pakete 'spamassassin-3.4.3-1.fc30' und 'spamassassin-3.4.3-1.fc31' im Status 'testing' zur Behebung der Schwachstellen zur Verfügung.

Für Debian 9 Stretch (oldstable) und Debian 10 Buster (stable) stehen Sicherheitsupdates für 'spamassassin' auf Version 3.4.2-1~deb9u2 bzw. 3.4.2-1+deb10u1bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2018-11805

Schwachstelle in SpamAssassin ermöglicht Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2019-12420

Schwachstelle in SpamAssassin ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.