GLSA 200606-09: SpamAssassin: Execution of arbitrary code

http://security.gentoo.org/

Опасность:	высокая
Заголовок:	SpamAssassin: Execution of arbitrary code
Дата:	11.06.2006
Ошибки:	#135746
ID:	200606-09

Сводка

SpamAssassin, when running with certain options, could allow local or even remote attackers to execute arbitrary commands, possibly as the root user.

Назначение

SpamAssassin is an extensible email filter used to identify junk email. spamd is the daemonized version of SpamAssassin.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
mail-filter/spamassassin	< 3.1.3	>= 3.1.3	All supported architectures

Описание

When spamd is run with both the "--vpopmail" (-v) and "--paranoid" (-P) options, it is vulnerable to an unspecified issue.

Воздействие

With certain configuration options, a local or even remote attacker could execute arbitrary code with the rights of the user running spamd, which is root by default, by sending a crafted message to the spamd daemon. Furthermore, the attack can be remotely performed if the "--allowed-ips" (-A) option is present and specifies non-local adresses. Note that Gentoo Linux is not vulnerable in the default configuration.

Обход

Don't use both the "--paranoid" (-P) and the "--vpopmail" (-v) options.

Решение

All SpamAssassin users should upgrade to the latest version:

    # emerge --sync
    # emerge --ask --oneshot --verbose ">=mail-filter/spamassassin-3.1.3"

Ссылки

CVE-2006-2447

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200606-09.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.