The Apache SpamAssassin Projectは6月6日,オープンソースのスパム・フィルタ「SpamAssasin」の新版バージョン3.0.6および3.1.3をリリースした。新版では,SpamAssainが稼働するマシン上で任意のコマンドを実行されるセキュリティ・ホールが修正された。新版は同Projectのサイトからダウンロードできる。
デンマークSecuniaによれば,新版で修正されたセキュリティ・ホールはバージョン3.0.3で確認されているという(ただし,これ以外の古いバージョンも同様に影響を受けるだろうとしている)。細工が施されたメールをSpamAssassinのデーモン(spamd)が処理しようとすると,メールに仕込まれた任意のシェル・コマンドを実行される可能性がある。このとき,コマンドはspamdが稼働する権限で実行される。
ただし,影響を受けるのは「-v(--vpopmail)」オプションおよび「-P(--paranoid)」オプションの両方を有効にしてspamdを実行している場合のみ。このため,新版にすぐにアップグレードできない環境では,いずれかのオプションを無効にすることが回避策となる。
◎参考資料
◆SpamAssassin Downloads(The Apache SpamAssassin Project)
◆SpamAssassin "spamd" Shell Command Injection Vulnerability(デンマークSecunia)
◆Spamassassin - upgrade(米SANS Institute)
◆SpamAssassin Vpopmail and Paranoid Switches Code Execution Vulnerability(仏FrSIRT)
