DFN-CERT

Advisory-Archiv

2021-0639: Apache SpamAssassin: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-03-29 15:30)
Neues Advisory
Version 2 (2021-04-01 19:03)
Canonical stellt Sicherheitsupdates für Ubuntu 20.04 LTS, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS zur Verfügung, die die Schwachstellen in 'spamassassin' adressieren.
Version 3 (2021-04-06 10:33)
Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'spamassassin' bereit, um die Schwachstelle zu beheben.
Version 4 (2021-04-12 18:02)
Canonical stellt korrespondierend zu USN-4899-1 ein Sicherheitsupdate für Ubuntu 14.04 ESM zur Verfügung, um die Schwachstelle in 'spamassassin' zu adressieren.
Version 5 (2021-11-11 09:12)
Für Red Hat Enterprise Linux 8 (x86_64, aarch64) stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'spamassassin' zur Verfügung. Die Updates werden im Rahmen der Veröffentlichung von Red Hat Enterprise Linux 8.5 bereitgestellt.
Version 6 (2021-11-17 13:07)
Für Oracle Linux 8 (x86_64, aarch64) stehen Sicherheitsupdates für 'spamassassin' zur Behebung der Schwachstelle zur Verfügung.

Betroffene Software

Office
Server
Sicherheit

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein Angreifer mit der Berechtigung, Konfigurationsdateien zur Verfügung zu stellen, kann eine Schwachstelle lokal ausnutzen, um beliebigen Programmcode auszuführen.

Der Hersteller informiert über die Schwachstelle und stellt Apache SpamAssassin 3.4.5 bereit, um sie zu beheben.

Für Fedora 32 und 33 stehen Sicherheitsupdates im Status 'testing' in Form der Pakete 'spamassassin-3.4.5-1.fc32' und 'spamassassin-3.4.5-1.fc33' zur Behebung der Schwachstelle bereit. SpamAssassin wird damit auf die aktuelle Version 3.4.5 aktualisiert.

Für Debian 10 Buster (stable) steht ein Sicherheitsupdate für 'spamassassin' in Version 3.4.2-1+deb10u3 zur Behebung der Schwachstelle zur Verfügung.

Schwachstellen:

CVE-2020-1946

Schwachstelle in Apache SpamAssassin ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.