中(Moderate):spamassassinのセキュリティアップデート
| アドバイスID: | RHSA-2005:498-10 |
| 最終更新日: | 2005-06-23 |
| 影響のあるプロダクト: |
Red Hat Desktop (v. 4) Red Hat Enterprise Linux AS (v. 4) Red Hat Enterprise Linux ES (v. 4) Red Hat Enterprise Linux WS (v. 4) |
| CVEs (cve.mitre.org): |
CAN-2005-1266 |
セキュリティ・アドバイス
概要:
欠陥のあるメッセージを解析したときにサービス拒否を引き起こすバグを修正した、spamassassinのアップデートパッケージが利用可能になりました。
このアップデートは、レッドハットセキュリティ対策チームによって、深刻度「中(Moderate)」のセキュリティ問題と評価されています。
SpamAssassinは、着信電子メールからスパムメール(SPAM)を減らす手段を提供します。
SpamAssassinでサービス拒否につながるバグが見つかりました。攻撃者がSpamAssassinにCPUリソースを消費させるメッセージを作成する可能性があります。そうしたメッセージが多数送信されると、サービス拒否が発生し、場合によっては電子メールの配信やフィルタリングが妨げられます。「Common Vulnerabilities and Exposures」プロジェクト(cve.mitre.org)により、この問題はCAN-2005-1266と命名されています。
さらに、SpamAssassinバージョン3.0.4では、以下のように多数のバグが解決されています。
- #156390 SpamAssassinが学習時に大量のメモリを消費していました。
- #155423 スパムがURIブラックリストを迂回していました。
- #147464 ユーザが件名の書き直しを無効化できるようになりました。
- デフォルトのBayesスコアが高度化されました。
- その他の多数のバグ修正によって、スパムフィルタの精度と安全性が向上しています。
詳細については、次のURLにあるSpamAssassinのオンラインマニュアルに記載されている3.0.2、3.0.3、および3.0.4の変更の詳細を参照してください。
http://wiki.apache.org/spamassassin/NextRelease
SpamAssassinのユーザは、これらの脆弱性とバグを解決したバージョン3.0.4を含む上記アップデートパッケージにアップグレードしてください。
アップデート・パッケージ:
| Red Hat Desktop (v. 4) | |
| SRPMS: | |
| spamassassin-3.0.4-1.el4.src.rpm | 0cfa5b1fd18aa2f410fed837928b455c |
| IA-32: | |
| spamassassin-3.0.4-1.el4.i386.rpm | c5e89bce23bff4757cb542cf56826e54 |
| x86_64: | |
| spamassassin-3.0.4-1.el4.x86_64.rpm | 2c44a9c80b1629af93b4543413c0c652 |
| Red Hat Enterprise Linux AS (v. 4) | |
| SRPMS: | |
| spamassassin-3.0.4-1.el4.src.rpm | 0cfa5b1fd18aa2f410fed837928b455c |
| IA-32: | |
| spamassassin-3.0.4-1.el4.i386.rpm | c5e89bce23bff4757cb542cf56826e54 |
| IA-64: | |
| spamassassin-3.0.4-1.el4.ia64.rpm | 84e256c709e69590520976c43d19c900 |
| PPC: | |
| spamassassin-3.0.4-1.el4.ppc.rpm | 3bdc20c485ee078b6a0607cdf99bff5d |
| s390: | |
| spamassassin-3.0.4-1.el4.s390.rpm | f85e251044675dd7fb3b5d9d1c0eb674 |
| s390x: | |
| spamassassin-3.0.4-1.el4.s390x.rpm | 09f74fbccdae19059115a670d90f5f98 |
| x86_64: | |
| spamassassin-3.0.4-1.el4.x86_64.rpm | 2c44a9c80b1629af93b4543413c0c652 |
| Red Hat Enterprise Linux ES (v. 4) | |
| SRPMS: | |
| spamassassin-3.0.4-1.el4.src.rpm | 0cfa5b1fd18aa2f410fed837928b455c |
| IA-32: | |
| spamassassin-3.0.4-1.el4.i386.rpm | c5e89bce23bff4757cb542cf56826e54 |
| IA-64: | |
| spamassassin-3.0.4-1.el4.ia64.rpm | 84e256c709e69590520976c43d19c900 |
| x86_64: | |
| spamassassin-3.0.4-1.el4.x86_64.rpm | 2c44a9c80b1629af93b4543413c0c652 |
| Red Hat Enterprise Linux WS (v. 4) | |
| SRPMS: | |
| spamassassin-3.0.4-1.el4.src.rpm | 0cfa5b1fd18aa2f410fed837928b455c |
| IA-32: | |
| spamassassin-3.0.4-1.el4.i386.rpm | c5e89bce23bff4757cb542cf56826e54 |
| IA-64: | |
| spamassassin-3.0.4-1.el4.ia64.rpm | 84e256c709e69590520976c43d19c900 |
| x86_64: | |
| spamassassin-3.0.4-1.el4.x86_64.rpm | 2c44a9c80b1629af93b4543413c0c652 |
| (The unlinked packages above are only available from the Red Hat Network) | |
解決法:
このアップデートを適用する前に、システムに関連するリリース済の errata が適用済であることをご確認ください。それぞれのアーキテクチャで全てのRPMをアップデートするには、以下のコマンドを実行してください: rpm -Fvh [filename] [filename] は、アップデートしたいRPMのファイル名です。現在インストールされているパッケージのみ、アップグレードされます。現在いるディレクトリにインストールしたいRPM *しか* 無い場合には、 ワイルドカード (*.rpm) も使うことができます。
このアップデートは、Red Hat Network 経由でも行なえます。アップデートを適用する非常に簡便な方法です。Red hat Network をご利用になるには、以下のコマンドで、アップデートエージェントを起動してください。 up2date このコマンドで、システムに適切なRPMをアップグレードする対話形式のプロセスを起動します。
バグジラ: (詳細は、こちらbugzilla[英語]を御覧ください。)
147464 - spamassassin no longer allows disabling subject rewriting
151433 - spamd generate child processes which occupies all memory
159198 - CAN-2005-1266 spamassassin DoS
参照:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-1266
ここに在るパッケージはセキュリティの為、 Red Hat, Inc. によって、 GPG 認証されています。キーは以下から利用可能になっています:
http://www.redhat.com/about/contact.html
各パッケージを確認するには次のコマンドをご利用ください: rpm --checksig filename
各パッケージが壊れていないか、もしくは改ざんされていないかを確認するには、以下のコマンドで MD5 チェックサムをお調べください: rpm --checksig --nogpg filename
注意: GnuPG キーをチェックするためには、RPM 3.0 以上が必要です。
Copyright © 2008 Red Hat, Inc. All rights reserved.
プライバシー ステートメント :
リーガル ステートメント/利用条件 :
特許に関する見解と約束 :
各種お問い合わせ