04.12.2021

Выпуск системы фильтрации спама SpamAssassin 3.4.5 с устранением уязвимости

Доступен релиз платформы для фильтрации спама — SpamAssassin 3.4.5. В SpamAssassin реализован комплексный подход в принятии решения о блокировании: сообщение подвергается ряду проверок (контекстный анализ, чёрные и белые списки DNSBL, обучаемые байесовские классификаторы, проверка по сигнатурам, аутентификация отправителя по SPF и DKIM и т.п.). После оценки сообщения разными методами, накапливается определенный весовой коэффициент. Если вычисленный коэффициент превышает определенный порог — сообщение блокируется или помечается как спам. Поддерживаются средства автоматического обновления правил фильтрации. Пакет может использоваться как на клиентских, так и на серверных системах. Код SpamAssassin написан на языке Perl и распространяется под лицензией Apache.

В новом выпуске устранена уязвимость (CVE-2020-1946), позволяющая атакующему выполнить системные команды на сервере при установке непроверенных правил блокировки, полученных из сторонних источников.

Среди изменений, не связанных с безопасностью упоминается улучшение работы плагинов OLEVBMacro и AskDNS, улучшение процесса сопоставления данных в заголовках Received и EnvelopeFrom, исправления в SQL-схеме userpref, улучшение кода для проверок в rbl и hashbl, решение проблемы с тегами TxRep.

Отмечается, что разработка серии 3.4.x прекращена и изменения в данную ветку больше помещаться не будут. Исключением сделано только для исправлений уязвимостей, в случае появления которых будет сформирован выпуск 3.4.6. Вся активность разработчиков сосредоточена на разработке ветки 4.0, в которой будет реализована полноценная встроенная обработка UTF-8.

Источник.