Страницы: 1
RSS
mailsploit.com, The Bat! уязвим и не только он.
 
Этой теме здесь не место, но подходящего раздела я не вижу (хотя раньше их было больше, но куда-то подевались). Не хочу писать тикет, я хотел бы получить ответ именно разработчика и ответ публичный.
Сегодня, наконец, на стр. https://www.mailsploit.com/index#demo я запросил All of them и могу подтвердить, что в когорте уязвимых вендоров можно упомянуть и Ritlabs.
Ничего особо фатального (есть же Ctrl-Shift-K) не вижу в этой уязвимости, но хотелось бы иметь безопасный клиент. Думаю, что вендору стоило бы оскорбиться, что его не включили в список и исправить это недоразумение.
https://xakep.ru/2017/12/06/mailsploit/
 

Разработчики The Bat! оперативно отреагировали на сообщения о «Mailsploit» - недавно обнаруженном комплексе уязвимостей в почтовых программах. Используя специально созданные данные в заголовках писем, злоумышленники могли фальсифицировать электронные адреса отправителей писем.

Для решения проблем с «Mailsploit» мы внедрили в The Bat! v8.2 новый декодер заголовков писем, учитывающий текущий контекст. Кроме того, мы встроили следующие проверки имени отправителя: если содержится символ «@» или любой управляющий символ (например, «возврат каретки», «перевод строки» или символ с нулевым кодом), то такая часть имени не учитывается, и пользователь видит реальный электронной адрес отправителя, а не сфабрикованный, который злоумышленник замаскировал в части имени отправителя.

В результате устранения уязвимостей «Mailsploit», в The Bat! v8.2 изменился формат индексных файлов базы писем. Таким образом, предыдущие версии программы не смогут корректно отображать в списке писем поля отправителей и получателей для тех писем, которые получены в новой версии. Соответственно, пользователи не смогут запускать разные версии The Bat! для работы с одной и той же почтовой базой.

В этой версии программы мы также улучшили редактор HTML, улучшили работу адресных книг CardDAV, оптимизировали многопоточный механизм совместной работы с данными для многоядерных процессоров и улучшили работу программы на современных процессорах, поддерживающих инструкции AVX-512.

 
Maxim Masiutin, не по этой теме, но верните протокол EWS в рабочее состояние (как было в 7 версии). В 8.х пользоваться невозможно.
 
Цитата
Maxim Masiutin написал:
Разработчики The Bat! оперативно отреагировали на сообщения о «Mailsploit»...

Возможно ли в настройках программы выключить действие этого нововведения, которое проверяет имя отправителя? У нас из-за этого все письма, приходящие через форму на сайте стали показывать некорректного отправителя, и, я думаю, не только у нас. Программа показывает просто какой-то набор случайных символов, и вся почта за долгие года работы стала непригодной к использованию.
Дело в том, что письма, отправленные через форму обратной связи с сайта, приходят с таким заполнением поля "From":
"Имя пользователя (user@mail.ru)" <noreply@our-site.ru>
Нам крайне необходимо, чтобы емейл пользователя был указан в поле "From", но при этом мы не можем указать адрес в треугольных скобках (<user@mail.ru>), т.к. отправить письмо от имени чужого хоста (mail.ru) не получится из-за политик SPF большинства почтовых серверов.
Мы не видели больше нигде, чтобы эту "уязвимость" решали таким методом. Например, в веб-интерфейсах популярных почтовиков имя отправителя отображается в оригинальном виде без лишних проверок.
Сделайте, пожалуйста, возможность отключать опцию проверки адресов, т.к. в текущем виде пользователи, которые принимают почту от форм обратной связи со своих сайтов не могут пользоваться новыми версиями The Bat!.
 
Цитата
Dennis Malkoff написал:
Сделайте, пожалуйста, возможность отключать

+1

и верните названия прикрепленных файлов как было раньше, а не "Часть1", "Часть2", и т.д.
Страницы: 1