Jason Molenda e Hiromitsu Takagi encontraron formas de explotar errores de scripts a través del sitio en mhonarc, un conversor de correo a HTML. Al procesar correos modificados de forma maliciosa del tipo text/html, mhonarc no desactivada todas las partes de scripts adecuadamente. Esto está corregido en la versión del autor 2.5.3.
Si está preocupado por la seguridad, se recomienda que desactive el soporte de mensajes text/html en sus archivos de correo. No hay garantía de que la biblioteca mhtxthtml.pl sea lo suficientemente robusta como para eliminar todas las posibles explotaciones que puedan ocurrir con los datos HTML.
Para excluir los datos HTML, puede usar el recurso MIMEEXCS. Por ejemplo:
<MIMEExcs>
text/html
text/x-html
</MIMEExcs>
El tipo "text/x-html" probablemente no vuelva a usarse más, pero es bueno incluirlo por si acaso.
Si considera que esto puede bloquear los contenidos completos de algunos mensajes, entonces haga lo siguiente:
<MIMEFilters>
text/html; m2h_text_plain::filter; mhtxtplain.pl
text/x-html; m2h_text_plain::filter; mhtxtplain.pl
</MIMEFilters>
Esto trata el HTML como text/plain.
Los problemas de arriba se han corregido en la versión 2.5.2-1.1 para la distribución estable actual (woody), en la versión 2.4.4-1.1 para la distribución estable anterior (potato) y en la versión 2.5.11-1 para la distribución inestable (sid).
Le recomendamos que actualice los paquetes mhonarc.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.