Издаване на системата за филтриране на спам SpamAssassin 3.4.5, коригираща уязвимостта

Налична е версията на платформата за филтриране на спам - SpamAssassin 3.4.5. SpamAssassin прилага интегриран подход за вземане на решение дали да се блокира: съобщението се подлага на редица проверки (контекстуален анализ, DNSBL черни и бели списъци, обучени байесови класификатори, проверка на подпис, удостоверяване на подателя с помощта на SPF и DKIM и т.н.). След оценка на съобщението с различни методи се натрупва определен коефициент на тежест. Ако изчисленият коефициент надвиши определен праг, съобщението се блокира или маркира като спам. Поддържат се инструменти за автоматично актуализиране на правилата за филтриране. Пакетът може да се използва както на клиентски, така и на сървърни системи. Кодът на SpamAssassin е написан на Perl и се разпространява под лиценза на Apache.

Новата версия поправя уязвимост (CVE-2020-1946), която позволява на атакуващ да изпълнява системни команди на сървъра, когато инсталира непроверени правила за блокиране, получени от източници на трети страни.

Сред промените, които не са свързани със сигурността, са подобрения в работата на добавките OLEVBMacro и AskDNS, подобрения в процеса на съпоставяне на данни в заглавките Received и EnvelopeFrom, корекции на потребителската SQL схема, подобрен код за проверки в rbl и hashbl и решение на проблема с TxRep таговете.

Отбелязва се, че разработката на серията 3.4.x е преустановена и промените повече няма да се правят в този клон. Изключение се прави само за пачове на уязвимости, в случай на които ще бъде генерирана версия 3.4.6. Цялата дейност на разработчиците е насочена към разработването на клона 4.0, който ще реализира пълноценна вградена UTF-8 обработка.

Източник: opennet.ru