Jason Molenda och Hiromitsu Takagi upptäckte sätt att utnyttja serveröverskridande skriptproblem i mhonarc, ett program för att konvertera post till HTML. När ett illasinnat specialskrivet brev av typen text/html behandlas inaktiverar inte mhonarc alla skriptdelar på riktigt sätt. Detta har rättats i uppströmsversion 2.5.3.
Om du oroar dig över säkerheten rekommenderas det att du inaktiverar stödet för text/html-brev i dina brevarkiv. Det finns ingen garanti för att mhtxthtml.pl-biblioteket är robust nog att eliminera alla möjliga angrepp som kan rymmas i HTML-data.
För att exkludera HTML-data kan du använda MIMEEXCS-resursen. Till exempel:
<MIMEExcs>
text/html
text/x-html
</MIMEExcs>
Formen ”text/x-html” används troligen inte längre, men det kan vara en bra idé att lägga in den, utifall att.
Om du är rädd för att detta kan blockera hela innehållet i vissa brev kan du istället använda följande:
<MIMEFilters>
text/html; m2h_text_plain::filter; mhtxtplain.pl
text/x-html; m2h_text_plain::filter; mhtxtplain.pl
</MIMEFilters>
Denna inställning behandlar HTML som text/plain.
Ovanstående problem har rättats i version 2.5.2-1.1 för den nuvarande stabila utgåvan (Woody), i version 2.4.4-1.1 för den gamla stabila utgåvan (Potato) samt i version 2.5.11-1 för den instabila utgåvan (Sid).
Vi rekommenderar att ni uppgraderar era mhonarc-paket.
MD5-kontrollsummor för dessa filer finns i originalbulletinen.