SpamAssassin Milter插件mlfi_envrcpt()远程命令注入漏洞

漏洞介绍

SpamAssassin是一套用于过滤垃圾邮件的解决方案。

Spamassassin所使用的Milter插件中的没有正确地过滤提交给mlfi_envrcpt()函数的输入参数。如果以expand标记(-x选项)运行spamass-milter，就会导致注入并执行恶意命令。

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://spamassassin.org/

来源: XF

名称: spamassassin-expand-command-execution(56732)

链接：http://xforce.iss.net/xforce/xfdb/56732
来源: VUPEN

名称: ADV-2010-0683

链接：http://www.vupen.com/english/advisories/2010/0683
来源: VUPEN

名称: ADV-2010-0559

链接：http://www.vupen.com/english/advisories/2010/0559
来源: SECTRACK

名称: 1023691

链接：http://www.securitytracker.com/id?1023691
来源: BID

名称: 38578

链接：http://www.securityfocus.com/bid/38578
来源: MISC

链接：http://www.exploit-db.com/exploits/11662
来源: DEBIAN

名称: DSA-2021

链接：http://www.debian.org/security/2010/dsa-2021
来源: SECUNIA

名称: 38956

链接：http://secunia.com/advisories/38956
来源: SECUNIA

名称: 38840

链接：http://secunia.com/advisories/38840
来源: OSVDB

名称: 62809

链接：http://osvdb.org/62809
来源: FULLDISC

名称: 20100307 Spamassassin Milter Plugin Remote Root

链接：http://archives.neohapsis.com/archives/fulldisclosure/2010-03/0139.html