SpamAssassin 本地Symlink攻击和拒绝服务漏洞

漏洞信息详情

SpamAssassin 本地Symlink攻击和拒绝服务漏洞

• CNNVD编号：CNNVD-200706-156
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2007-2873
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2007-06-11
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2007-06-13
  
• 厂        商：
  
  spamassassin
• 漏洞来源：
  Martin F. Krafft o…

SpamAssassin的本地Symlink存在攻击和拒绝服务漏洞。当在使用vpopmail或虚拟用户的非正常配置下运行时，SpamAssassin允许本地用户借助对被spamd使用的一个文件的symlink攻击，引起拒绝服务攻击(破坏任意文件)。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://apache.sunsite.ualberta.ca/spamassassin/source/Mail-SpamAssassin-3.1.9.tar.gz

来源: spamassassin.apache.org

链接:http://spamassassin.apache.org/advisories/cve-2007-2873.txt

来源: OSVDB

名称: 37234

链接:http://osvdb.org/37234

来源: issues.rpath.com

链接:https://issues.rpath.com/browse/RPL-1450

来源: XF

名称: spamassassin-symlink-dos(34864)

链接:http://xforce.iss.net/xforce/xfdb/34864

来源: SECTRACK

名称: 1018242

链接:http://www.securitytracker.com/id?1018242

来源: BID

名称: 24481

链接:http://www.securityfocus.com/bid/24481

来源: REDHAT

名称: RHSA-2007:0492

链接:http://www.redhat.com/support/errata/RHSA-2007-0492.html

来源: MANDRIVA

名称: MDKSA-2007:125

链接:http://www.mandriva.com/security/advisories?name=MDKSA-2007:125

来源: VUPEN

名称: ADV-2007-2172

链接:http://www.frsirt.com/english/advisories/2007/2172