Risque
- Contournement de la politique de sécurité ;
- dégradation du filtrage du pourriel.
Systèmes affectés
Tout système utilisant SpamAssassin, en version source antérieure à la 3.1.0, pour filtrer les pourriels.
Résumé
Un utilisateur mal intentionné peut transmettre des messages volontairement mal formés qui vont provoquer un déni de service du processus d'analyse ce qui va empêcher l'identification comme pourriel.
Description
SpamAssassin est un service de filtrage du courrier indésirable, écrit en Perl.
Une expression régulière peu précise du code d'analyse des entêtes peut générer une explosion combinatoire et arrêter le processus en cours. Seul le fils analysant le message courant est impacté, pas l'ensemble du service.
Solution
Mettre à jour en version source 3.1.0 au moins, ou se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Gentoo Linux : la version 3.1.0 est stable pour la plupart des architectures depuis le 14 novembre 2005.
Documentation
- Site internet de SpamAssassin :
http://spamassassin.apache.org
- Linux Fedora :
- Fedora Core 3 du 09 novembre 2005 :
http://www.redhat.com/archives/fedora-announce-list/2005-November/msg00028.html
- Fedora Core 4 du 09 novembre 2005 :
http://www.redhat.com/archives/fedora-announce-list/2005-November/msg00029.html
- Fedora Core 3 du 09 novembre 2005 :
- Bulletin de sécurité Mandriva MDKSA-2005:221 du 02 décembre 2005 :
http://frontal2.mandriva.com/security/advisories?name=MDKSA-2005:221
- Bulletin de sécurité RedHat RHSA-2006:0129 du 07 mars 2006 :
https://rhn.redhat.com/errata/RHSA-2006-0129.html
- Référence CVE CVE-2005-3351 :
https://www.cve.org/CVERecord?id=CAN-2005-3351
