Risque
- Exécution de code arbitraire
Systèmes affectés
- 2.5.x;
- 2.6.x;
- 3.0.x;
- 3.1.x.
Résumé
Une vulnérabilité a été publiée dans le logiciel anti-spam SpamAssassin. Elle permet l'éxécution de code arbitraire à distance.
Description
Pour que la vulnérabilité soit mise en oeuvre il est nécessaire que les directives -vpopmail et -paranoid soit activées dans le fichier de configuration. Il est à noter qu'il ne s'agit pas de la configuration par défaut.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Debian DSA-1090 du 06 juin 2006 : http://www.debian.org/security/2006/dsa-1090
- Bulletin de sécurité Gentoo GLSA-200606-09 du 11 juin 2006 : http://www.gentoo.org/security/en/glsa/glsa-200606-09.xml
- Bulletin de sécurité Mandriva MDKSA-2006:103 du 14 juin 2006 : http://www.mandriva.com/security/advisories?name=MDKSA-2006:103
- Bulletin de sécurité RedHat RHSA-2006:0543 du 06 juin 2006 : http://rhn.redhat.com/errata/RHSA-2006-0543.html
- Nouvelle version de SpamAssassin http://spamassassin.apache.org/downloads.cgi?update=200606050750