2020-0635: SpamAssassin: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes mit den Rechten des Dienstes

Historie:

Version 1 (2020-03-30 18:28): Neues Advisory
Version 2 (2020-03-31 09:44): Für die SUSE Linux Enterprise Produkte Server for SAP 15, Server 15 LTSS, High Performance Computing 15 LTSS und 15 ESPOS stehen Sicherheitsupdates für 'spamassassin' zur Behebung der Schwachstellen zur Verfügung.
Version 3 (2020-04-06 11:29): Für openSUSE Leap 15.1 steht ein Sicherheitsupdate zur Behebung der aufgeführten Schwachstellen und eines nicht sicherheitsrelevanten Fehlers zur Verfügung.

Betroffene Software

Office
Server
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten oder lokalen Angreifer die Ausführung beliebigen Programmcodes mit den Rechten des betroffenen Dienstes. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers oder erweiterte Benutzerrechte des Angreifers.

Für SUSE OpenStack Cloud 7, 8 und Crowbar 8, SUSE Enterprise Storage 5 sowie die SUSE Linux Enterprise Produkte Server for SAP 12 SP3, 12 SP2 und 12 SP1, Server 12 SP5, 12 SP4, 12 SP3 LTSS, 12 SP3 BCL, 12 SP2 LTSS, 12 SP2 BCL und 12 SP1 LTSS und für die SUSE Linux Enterprise Module for Development Tools und for Basesystem 15 SP1 stehen Sicherheitsupdates für 'spamassassin' zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2018-11805

Schwachstelle in SpamAssassin ermöglicht Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2020-1930

Schwachstelle in Apache SpamAssassin ermöglicht Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

CVE-2020-1931