Уязвимость при обработке символических ссылок в SpamAssassin

Дата публикации:
15.06.2007
Дата изменения:
09.04.2009
Всего просмотров:
1778
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Локальная
Воздействие:
Повышение привилегий
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
SpamAssassin 3.x
Уязвимые версии: SpamAssassin версии до 3.2.1.

Описание:
Уязвимость позволяет удаленному пользователю вызвать отказ в обслуживании.

Если spamd запущен с привилегиями учетной записи root, локальный пользователь может создать символическую ссылку с критического файла на системе на файл, используемый spamd и перезаписать произвольные файлы. Уязвимость может эксплуатироваться при следующих условиях: приложение собрано с опциями "-v"/"--vpopmail" или "--virtual-config-dir", с "-x"/"--no-user-config без опции "-u"/"--username" и с опцией "-l"/"--allow-tell".

URL производителя: spamassassin.apache.org

Решение: Установите последнюю версию 3.2.1 с сайта производителя.

Ссылки: SpamAssassin symlink Bug Lets Local Users Deny Service

или введите имя

CAPTCHA