Direkt zum Inhalt
25.03.2021 - Admin-Alarm

Spamassassin News: CVE, SHA1, Channels

Um den Spamassassin ist es in letzter Zeit auch bei uns recht ruhig geworden. Wir hoffen, dass es mit dem in der Entwicklung befindlichen Release 4.0 wieder mehr zu berichten gibt.

Aber es gibt schon jetzt ein paar wichtige Neuigkeiten. In aller Kürze:

Das Release 3.4.5 behebt (wie auch schon die 3.4.4) Schwachstellen, die es ermöglichen System-Commands aus Spamassassin Rules auszulösen. Das betrifft alle .cf Files, die über die Channels oder auch einzeln (bspw. KAM.cf) benutzt werden. Wer nicht sofort upgraden kann, sollte seine Channels und zusätzliche Rules genau überprüfen.

https://cve.mitre.org/cgi-bin/cvename.cgi?name=2020-1946

Außerdem werden seit dem 1. März 2021 die Spamassassin Rules, die via sa-update geladen werden, nicht mehr mit SHA1, sondern nur noch mit SHA256 signiert. Somit kann ein Spamassassin älter als die Version 3.4.2 die Signatur nicht mehr prüfen und verwirft damit die Regeln. Spamassassin 3.4.1 ist aus dem Jahr 2015 ;-)

https://spamassassin.apache.org/news.html

Und zum Thema Channels - nachdem der SA Channel sought.rules.yerp.org schon vor Jahren angekündigt hat zu schließen und das letzte Update aus dem Jahr 2014 war - wurde vor ein paar Tagen die ganze Domain offline genommen. Der Channel sollte spätestens jetzt nicht mehr sa-update abgefragt werden.

Autor: Carsten Rosenberg, Linux-Consultant, Heinlein Support