Mise à jour de sécurité SpamAssassin

Toutes les mises à jour de sécurités publiées et les failles annoncées
Reprise notamment des publications du CERT-FR (ANSSI)
Répondre
Avatar du membre
charles
Administrateur du site
Messages : 4896
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Mise à jour de sécurité SpamAssassin

Message par charles » 14 déc. 2019 21:28

Deux vulnérabilités ont été corrigées dans la version 3.4.3 de SpamAssassin publiée le 12/12/2019 :

https://svn.apache.org/repos/asf/spamas ... /3.4.3.txt

La vulnérabilité CVE-2019-12420 pourrait permettre à un attaquant de réaliser un déni de service.

CVE-2018-11805 : Le téléchargement de fichiers de règles ou de configuration depuis différents serveur de mises à jour pourraient permettre dans certains cas de réaliser une exécution de code arbitraire à distance.

https://nvd.nist.gov/vuln/detail/CVE-2019-12420

https://nvd.nist.gov/vuln/detail/CVE-2018-11805

https://lists.apache.org/thread.html/e3 ... che.org%3E

Pour la version stable de Debian (buster), ces vulnérabilités sont corrigées en version 3.4.2-1+deb10u1.

À noter que SpamAssassin est utilisé dans de très nombreuses solutions d'antispam libres ou commerciales.

Avatar du membre
charles
Administrateur du site
Messages : 4896
Enregistré le : 06 avr. 2015 09:02
Etablissement : GHT 15 - CH Saint-Flour
Fonction : RSSI
DPO / DPD : Oui
Site Internet de l'établissement : https://www.ch-stflour.fr
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Mise à jour de sécurité SpamAssassin

Message par charles » 02 févr. 2020 10:49

Deux vulnérabilités permettant de réaliser une exécution de code arbitraire ont été corrigées dans la version 3.4.4 de SpamAssassin publiée le 30/01/2020 :

https://svn.apache.org/repos/asf/spamas ... /3.4.4.txt
https://www.debian.org/security/2020/dsa-4615

Répondre

Retourner vers « Alertes de sécurité - Mises à jour et failles »