[devel] html email in devel@ (was: Re: hazardous girar builder)

[Vladimir D. Seleznev]

On Wed, Jan 13, 2021 at 12:55:29PM +0300, Andrey Savchenko wrote:
> On Wed, 13 Jan 2021 12:27:12 +0300 Vladimir D. Seleznev wrote:
> > On Wed, Jan 13, 2021 at 11:59:03AM +0300, Andrey Savchenko wrote:
> > > On Wed, 13 Jan 2021 11:26:55 +0300 Aleksey Cheusov wrote:
> > > > On Tue, 12 Jan 2021 23:54:22 +0300 Arseny Maslennikov wrote:
> > > > >   Извините, ради всего святого, но у многих активных читателей devel@ и
> > > > >   писателей в него же ваши письма из-под yamail выглядят примерно так, как
> > > > >   процитировано :(,
> > > 
> > > У кого «у многих»? Даже mutt умеет отображать html-письма.
> > 
> > Либо "как есть", либо через внешний рендер, привет RCE.
> 
> Ну вот 10-секундный поиск в сети даёт мне, что w3m очень легко
> туда прикручивается.

Да хоть elinks -dump

> Да, внешний рендер. И что? Работает же.

Увеличивается сложность системы. Я уже написал про RCE [1], grep crafted
HTML, как подтверждение, что это не просто теоретическая возможность.
Да, вероятность наткнуться на это, особенно в этом списке рассылки,
практически нулевая, должно быть злое намерение участника, но ты же
почту не только из листов получаешь. И ещё вопрос: сможешь ли ты понять,
что был успешно атакован?

[1] https://www.cvedetails.com/vulnerability-list/vendor_id-15995/product_id-35351/opec-1/W3m-Project-W3M.html

-- 
   WBR,
   Vladimir D. Seleznev