云安全日报210329：Debian垃圾邮件过滤器发现注入

SpamAssassin是一种安装在邮件伺服主机上的邮件过滤器，用来辨识垃圾信。它是使用大量的预设规则检查垃圾信，这些规则会检查寄到网域内所有邮件的标头，内文，以及送信者。他采取的过滤方式是采用记分制，也就是说会根据我们所设定的标准来给予分数超过标准值的时候即判定为SPAM（垃圾邮件）。

3月27日,Debian发布了安全更新,修复了邮件过滤器SpamAssassin中发现的注入攻击漏洞。以下是漏洞详情

漏洞详情

来源https://.debian./security/2021/dsa-4879

CVE-2020-1946 严重程度: 重要

在3.4.5之前的Apache SpamAssassin中，可以将恶意规则配置（.cf）文件配置为运行系统命令，而不会产生任何输出或错误。这样，可以在多种情况下注入攻击。

受影响产品及版本

在Debian系统上,上述漏洞影响spamassassin 3.4.2-1 + deb10u3之前版本

解决方案

此问题已在版本 3.4.2-1 + deb10u3中修复,建议及时更新spamassassin软件包。

查看更多漏洞信息 以及升级请访问官网

https://.debian./lts/security/