Jason Molenda og Hiromitsu Takagi har fundet nogle måder hvorpå man kan udnytte "cross site"-scriptfejl i mhonarc, et e-mail til HTML-konverteringsprogram. Når ondsindet udformede e-mails af typen text/html behandles, deaktiverer mhonarc ikke alle script-dele korrekt. Dette er rettet i opstrøms version 2.5.3.
Hvis du bekymrer dig om sikkerhed, anbefales det at du slår understøttelsen af text/html-breve fra i dine e-mail-arkiver. Der er ingen garanti for at biblioteket mhtxthtml.pl er robust nok til at udrydde alle mulige udnyttelser som kan ske med HTML-data.
For at udelukke HTML-data, kan du bruge ressourcen MIMEEXCS. For eksemepl:
<MIMEExcs>
text/html
text/x-html
</MIMEExcs>
Typen "text/x-html" anvendes nok ikke mere, men det er godt at tage den med, bare for en sikkerheds skyld.
Hvis du er bange for at dette kan blokere hele indholdet i nogle breve, kan du i stedet gøre som følger:
<MIMEFilters>
text/html; m2h_text_plain::filter; mhtxtplain.pl
text/x-html; m2h_text_plain::filter; mhtxtplain.pl
</MIMEFilters>
Dette behandler HTML-kode som text/plain.
Ovennævnte problemer er rettet i version 2.5.2-1.1 i den aktuelle stabile distribution (woody), i version 2.4.4-1.1 i den gamle stabile distribution (potato) og i version 2.5.11-1 i den ustabile distribution (sid).
Vi anbefaler at du opgraderer dine mhonarc-pakker.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.