La libreria Perl MIME::Tools consente la formattazione e l'invio di mail nei formati text, html, multipart, con allegati, ecc.. Si tratta di una libreria molto potente ed usata, per la generazione di mail di ottimo aspetto tramite script.

 

Viene anche utilizzata per effettuare la decodifica degli allegati di una mail.

 

Le versioni inferiori alla 5.415 sono affette da un bug che consente ad un attaccante di inviare virus in modo da superare il controllo di alcuni antivirus, che utilizzano le suddette funzioni di decodifica degli allegati.

 

L'errore sta in un difettoso parsing della stringa:

boundary=""

quando è settata vuota.

 

Il problema si pone quando si vuole inviare una mail in formato html. Per fare ciò è sufficiente settare:

Content-type: text/html

Ciò però impedisce la ricezione o la lettura della mail ai destinatari che per qualche motivo filtrano i messaggi html o il cui client non li legge.

Per evitare questi inconvenienti si può settare un MIME:

Content-type: multipart/alternative

cioè un messaggio in più versioni, ad esempio la prima text e la seconda html, tra le quali sarà il client a scegliere.

La divisione delle due parti avviene tramite la stringa "Boundary" che DEVE essere univoca e quindi, per definizione, non vuota.

 

Segnalazione bug: www.gentoo.org/security/en/glsa/glsa-200411-06.xml

Rimedi: upgradare la suddetta libreria ad una versione >= 5.415