リモートホストにインストールされているspamassassinのバージョンは、3.4.4-3より前のバージョンです。したがって、ALAS2-2021-1642のアドバイザリに記載されている脆弱性の影響を受けます。

  - 3.4.5より前のApache SpamAssassinで、悪意のあるルール構成（.cf）ファイルが構成されて、出力やエラーなしにシステムコマンドを実行する可能性があります。複数のシナリオでこれが悪用される可能性があります。ユーザーは、SAバージョン3.4.5にアップグレードすることに加え、信頼できる場所からの更新チャネルまたはサードパーティの.cfファイルのみを使用する必要があります。（CVE-2020-1946）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

このspamassassinの更新では、次の問題を修正します:

spamassassin がバージョン 3.4.5 に更新されました

CVE-2019-12420: 細工されたメッセージによるメモリリーク (bsc#1159133)

CVE-2020-1946: セキュリティ更新 (bsc#1184221)

注: Tenable Network Security は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。Tenable では、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

リモートのRedhat Enterprise Linux 8ホストにインストールされているパッケージは、RHSA-2021：4315 アドバイザリに記載されている複数の脆弱性の影響を受けます。

  - spamassassin: 悪意のあるルール構成ファイルが、システムコマンドを実行するように構成される可能性があります (CVE-2020-1946)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

リモートのOracle Linux 8ホストに、ELSA-2021-4315アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

  - 3.4.5より前のApache SpamAssassinで、悪意のあるルール構成（.cf）ファイルが構成されて、出力やエラーなしにシステムコマンドを実行する可能性があります。複数のシナリオでこれが悪用される可能性があります。ユーザーは、SAバージョン3.4.5にアップグレードすることに加え、信頼できる場所からの更新チャネルまたはサードパーティの.cfファイルのみを使用する必要があります。（CVE-2020-1946）

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - 3.4.5より前のApache SpamAssassinで、悪意のあるルール構成（.cf）ファイルが構成されて、出力やエラーなしにシステムコマンドを実行する可能性があります。複数のシナリオでこれが悪用される可能性があります。ユーザーは、SAバージョン3.4.5にアップグレードすることに加え、信頼できる場所からの更新チャネルまたはサードパーティの.cfファイルのみを使用する必要があります。（CVE-2020-1946）

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

The version of spamassassin installed on the remote host is prior to 3.4.4-3. It is, therefore, affected by a vulnerability as referenced in the ALAS2-2021-1642 advisory.

    A flaw was found in spamassassin. Malicious rule configuration (.cf) files can be configured to run system     commands without any output or errors allowing exploits to be injected in a number of scenarios. The     highest threat from this vulnerability is to data confidentiality and integrity as well as system     availability. (CVE-2020-1946)

Tenable has extracted the preceding description block directly from the tested product security advisory.

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

The remote Redhat Enterprise Linux 8 host has a package installed that is affected by a vulnerability as referenced in the RHSA-2021:4315 advisory.

    The SpamAssassin tool provides a way to reduce unsolicited commercial email (spam) from incoming email.

    Security Fix(es):

    * spamassassin: Malicious rule configuration files can be configured to run system commands     (CVE-2020-1946)

    For more details about the security issue(s), including the impact, a CVSS score, acknowledgments, and     other related information, refer to the CVE page(s) listed in the References section.

    Additional Changes:

    For detailed information on changes in this release, see the Red Hat Enterprise Linux 8.5 Release Notes     linked from the References section.

Tenable has extracted the preceding description block directly from the Red Hat Enterprise Linux security advisory.

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

The remote Oracle Linux 8 host has a package installed that is affected by a vulnerability as referenced in the ELSA-2021-4315 advisory.

    [3.4.4-4.el4]
    - Fix header parsing

Tenable has extracted the preceding description block directly from the Oracle Linux security advisory.

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - In Apache SpamAssassin before 3.4.5, malicious rule configuration (.cf) files can be configured to run     system commands without any output or errors. With this, exploits can be injected in a number of     scenarios. In addition to upgrading to SA version 3.4.5, users should only use update channels or 3rd     party .cf files from trusted places. (CVE-2020-1946)

Note that Nessus relies on the presence of the package as reported by the vendor.

This update for spamassassin fixes the following issues :

spamassassin was updated to version 3.4.5

CVE-2019-12420: memory leak via crafted messages (bsc#1159133)

CVE-2020-1946: security update (bsc#1184221)

Note that Tenable Network Security has extracted the preceding description block directly from the SUSE security advisory. Tenable has attempted to automatically clean and format it as much as possible without introducing additional issues.

The remote host is affected by the vulnerability described in GLSA-202105-26 (SpamAssassin: Arbitrary command execution)

    It was discovered that SpamAssassin incorrectly handled certain CF       files.
  Impact :

    A remote attacker could entice a user or automated system to process a       specially crafted CF file using SpamAssassin, possibly resulting in       execution of arbitrary commands with the privileges of the process or a       Denial of Service condition.
  Workaround :

    There is no known workaround at this time.

ID	Name	Product	Family	Published	Updated	Severity
149861	Amazon Linux 2：spamassassin（ALAS-2021-1642）	Nessus	Amazon Linux Local Security Checks	5/24/2021	12/11/2024	critical
148532	SUSE SLES12セキュリティ更新プログラム: spamassassin(SUSE-SU-2021:1152-1)	Nessus	SuSE Local Security Checks	4/14/2021	4/16/2021	critical
155079	RHEL 8: spamassassin (RHSA-2021: 4315)	Nessus	Red Hat Local Security Checks	11/11/2021	11/7/2024	critical
155391	Oracle Linux 8 : spamassassin（ELSA-2021-4315）	Nessus	Oracle Linux Local Security Checks	11/17/2021	10/22/2024	critical
223398	Linux Distros のパッチ未適用の脆弱性: CVE-2020-1946	Nessus	Misc.	3/4/2025	8/27/2025	critical
149861	Amazon Linux 2 : spamassassin (ALAS-2021-1642)	Nessus	Amazon Linux Local Security Checks	5/24/2021	12/11/2024	critical
155079	RHEL 8 : spamassassin (RHSA-2021:4315)	Nessus	Red Hat Local Security Checks	11/11/2021	11/7/2024	critical
155391	Oracle Linux 8 : spamassassin (ELSA-2021-4315)	Nessus	Oracle Linux Local Security Checks	11/17/2021	10/22/2024	critical
223398	Linux Distros Unpatched Vulnerability : CVE-2020-1946	Nessus	Misc.	3/4/2025	8/27/2025	critical
148532	SUSE SLES12 Security Update : spamassassin (SUSE-SU-2021:1152-1)	Nessus	SuSE Local Security Checks	4/14/2021	4/16/2021	critical
157029	GLSA-202105-26 : SpamAssassin: Arbitrary command execution	Nessus	Gentoo Local Security Checks	1/24/2022	12/21/2023	critical

Detections

Analytics

Plugins Search

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical

critical