Un atacante podría explotar una vulnerabilidad en SpamAssassin "spamd" para acceder al sistema y ejecutar comandos arbitrarios de forma remota.


Productos Afectados
Apache SpamAssassin, versiones 2.5x, 2.6x, 3.0.x y 3.1.x.


Detalle
Una entrada no especificada no validada efectivamente antes de ser usada puede ser utilizada para inyectar comandos arbitrarios. Para poder explotar esta vulnerabilidad se requiere que spamd este siendo utilizado con los switches --vpopmail y --paranoid. Estos parámetros no suelen estar configurados por defecto.


Impacto
El impacto de esta vulnerabilidad es ALTO


Recomendaciones
Se recomienda actualizar a las  siguientes versiones:

SpamAssassin 3.0.6 para aquellos administradores que mantengan las versiones 3.0.x

SpamAssassin 3.1.3 para aquellos administradores que usen las versiones 3.1.x


Referencias
http://spamassassin.apache.org/


Saludos!!..