[devel] html email in devel@ (was: Re: hazardous girar builder)

Andrey Savchenko bircoph на altlinux.org
Ср Янв 13 13:49:59 MSK 2021 

On Wed, 13 Jan 2021 13:14:58 +0300 Vladimir D. Seleznev wrote:
> On Wed, Jan 13, 2021 at 12:55:29PM +0300, Andrey Savchenko wrote:
> > On Wed, 13 Jan 2021 12:27:12 +0300 Vladimir D. Seleznev wrote:
> > > On Wed, Jan 13, 2021 at 11:59:03AM +0300, Andrey Savchenko wrote:
> > > > On Wed, 13 Jan 2021 11:26:55 +0300 Aleksey Cheusov wrote:
> > > > > On Tue, 12 Jan 2021 23:54:22 +0300 Arseny Maslennikov wrote:
> > > > > >   Извините, ради всего святого, но у многих активных читателей devel@ и
> > > > > >   писателей в него же ваши письма из-под yamail выглядят примерно так, как
> > > > > >   процитировано :(,
> > > > 
> > > > У кого «у многих»? Даже mutt умеет отображать html-письма.
> > > 
> > > Либо "как есть", либо через внешний рендер, привет RCE.
> > 
> > Ну вот 10-секундный поиск в сети даёт мне, что w3m очень легко
> > туда прикручивается.
> 
> Да хоть elinks -dump
> 
> > Да, внешний рендер. И что? Работает же.
> 
> Увеличивается сложность системы. Я уже написал про RCE [1], grep crafted
> HTML, как подтверждение, что это не просто теоретическая возможность.
> Да, вероятность наткнуться на это, особенно в этом списке рассылки,
> практически нулевая, должно быть злое намерение участника, но ты же
> почту не только из листов получаешь. И ещё вопрос: сможешь ли ты понять,
> что был успешно атакован?

Там речь идёт о крахе приложения, даже возможность эксплойта не
доказана, но и не опровергнута. Думаю, эта ситуация даже менее
опасна, чем просмотр jpeg-картинки в браузере.

Если хочется очень попараноить, можно читать почту в отдельном
контейнере/оборудовании/бункере.
 
> [1] https://www.cvedetails.com/vulnerability-list/vendor_id-15995/product_id-35351/opec-1/W3m-Project-W3M.html
> 


Best regards,
Andrew Savchenko
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 833 байтов
Описание: отсутствует
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20210113/967626fe/attachment.bin>

Подробная информация о списке рассылки Devel