Jason Molenda et Hiromitsu Takagi ont réussi à exploiter les bogues sur les éléments dynamiques dans mhonarc, un convertisseur de courriel en HTML. En traitant un message électronique conçu à dessein de type text/html, mhonarc ne désactive pas proprement tous les éléments dynamiques. Ceci est réparé dans le source originale dans la version 2.5.3.
Si vous êtes inquiet à propos de la sécurité, il est recommandé de désactiver la fonctionnalité pour les messages text/html dans vos archives. Il n'y a aucune garantie que la bibliothèque mhtxthtml.pl est assez robuste pour éliminer tout risque d'attaque via des données HTML.
Pour exclure les données au format HTML, vous pouvez utiliser la ressource MIMEEXCS. Par exemple :
<MIMEExcs>
text/html
text/x-html
</MIMEExcs>
Le type text/x-html n'est probablement plus utilisée désormais
mais il est bon de l'inclure tout de même, on ne sait jamais.
Si le contenu de vos messages n'apparaissent pas, vous pouvez faire ceci à la place :
<MIMEFilters>
text/html; m2h_text_plain::filter; mhtxtplain.pl
text/x-html; m2h_text_plain::filter; mhtxtplain.pl
</MIMEFilters>
Ceci traite le format HTML comme du text/plain.
Les problèmes décrits ont été réglé dans la version 2.5.2-1.1 pour l'actuelle distribution stable (woody), dans celle 2.4.4-1.1 pour l'ancienne distribution stable (potato) et dans celle 2.5.11-1 pour la distribution instable (sid).
Nous vous recommandons de mettre à jour les paquets mhonarc.
Les hachés MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.