[devel] html email in devel@ (was: Re: hazardous girar builder)
Vladimir D. Seleznev
vseleznv на altlinux.org
Ср Янв 13 13:14:58 MSK 2021
On Wed, Jan 13, 2021 at 12:55:29PM +0300, Andrey Savchenko wrote:
> On Wed, 13 Jan 2021 12:27:12 +0300 Vladimir D. Seleznev wrote:
> > On Wed, Jan 13, 2021 at 11:59:03AM +0300, Andrey Savchenko wrote:
> > > On Wed, 13 Jan 2021 11:26:55 +0300 Aleksey Cheusov wrote:
> > > > On Tue, 12 Jan 2021 23:54:22 +0300 Arseny Maslennikov wrote:
> > > > > Извините, ради всего святого, но у многих активных читателей devel@ и
> > > > > писателей в него же ваши письма из-под yamail выглядят примерно так, как
> > > > > процитировано :(,
> > >
> > > У кого «у многих»? Даже mutt умеет отображать html-письма.
> >
> > Либо "как есть", либо через внешний рендер, привет RCE.
>
> Ну вот 10-секундный поиск в сети даёт мне, что w3m очень легко
> туда прикручивается.
Да хоть elinks -dump
> Да, внешний рендер. И что? Работает же.
Увеличивается сложность системы. Я уже написал про RCE [1], grep crafted
HTML, как подтверждение, что это не просто теоретическая возможность.
Да, вероятность наткнуться на это, особенно в этом списке рассылки,
практически нулевая, должно быть злое намерение участника, но ты же
почту не только из листов получаешь. И ещё вопрос: сможешь ли ты понять,
что был успешно атакован?
[1] https://www.cvedetails.com/vulnerability-list/vendor_id-15995/product_id-35351/opec-1/W3m-Project-W3M.html
--
WBR,
Vladimir D. Seleznev
Подробная информация о списке рассылки Devel