2020-0224: Apache SpamAssassin: Zwei Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

Historie:

Version 1 (2020-02-03 17:01)

Neues Advisory

Version 2 (2020-02-04 11:07)

Für Fedora 30 und 31 stehen Sicherheitsupdates in Form von 'spamassassin-3.4.4-1'-Paketen im Status 'testing' bereit, um die Schwachstellen zu beheben.

Version 3 (2020-02-05 10:13)

Canonical veröffentlicht für Ubuntu 12.04 ESM und Ubuntu 14.04 ESM Sicherheitsupdates für 'spamassassin', um die Schwachstellen zu beheben.

Version 4 (2020-02-05 10:51)

Für Ubuntu 16.04 LTS, 18.04 LTS und 19.10 stehen ebenfalls Sicherheitsupdates für 'spamassassin' zur Behebung der Schwachstellen zur Verfügung.

Version 5 (2020-02-18 16:34)

Debian veröffentlicht für Debian 8 Jessie (LTS) ein Sicherheitsupdate für 'spamassassin' auf die Version 3.4.2-0+deb8u3, um die referenzierten Schwachstellen zu beheben.

Betroffene Software

Office
Server
Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Zwei Schwachstellen in Apache SpamAssassin ermöglichen einem entfernten, nicht authentisierten Angreifer mit Hilfe einer speziell präparierten Konfigurationsdatei (.cf) die Ausführung beliebigen Programmcodes mit den Rechten des betroffenen Dienstes.

Für Debian 9 Stretch und Debian 10 Buster stehen Sicherheitsupdates für 'spamassassin' auf Version '3.4.2-1~deb9u3' bzw. '3.4.2-1+deb10u2' bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2020-1930

Schwachstelle in Apache SpamAssassin ermöglicht Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2020-1931

Schwachstelle in Apache SpamAssassin ermöglicht Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.