Risques

  • Contournement de la politique de sécurité
  • Dégradation du filtrage du pourriel

Systèmes affectés

Tout système utilisant SpamAssassin, en version source antérieure à la 3.1.0, pour filtrer les pourriels.

Résumé

Un utilisateur mal intentionné peut transmettre des messages volontairement mal formés qui vont provoquer un déni de service du processus d'analyse ce qui va empêcher l'identification comme pourriel.

Description

SpamAssassin est un service de filtrage du courrier indésirable, écrit en Perl.

Une expression régulière peu précise du code d'analyse des entêtes peut générer une explosion combinatoire et arrêter le processus en cours. Seul le fils analysant le message courant est impacté, pas l'ensemble du service.

Solution

Mettre à jour en version source 3.1.0 au moins, ou se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Gentoo Linux : la version 3.1.0 est stable pour la plupart des architectures depuis le 14 novembre 2005.

Documentation