Почтовый клиент Evolution для Linux сливает данные — даже при включенных настройках защиты

Они все сливают.

ардвелл подал баг-репорт, однако разработчики Evolution отреагировали формально. Они заявили, что виноват движок WebKitGTK, который используется для отображения писем, и закрыли обращение, сославшись на аналогичный тикет от апреля 2024 года. Там указывалось, что WebKit уже с августа 2023 года содержит баг, позволяющий раскрывать IP-адрес пользователя, и прогресса в его устранении не наблюдается.

Юниксвейно, чо. Баг в потустороннем компоненте, исправлять его никто не собирается.

Продолжайте вести наблюдение трандербёрдить!

Тут из известных разве что mutt и его форки сливать не будет.

Добавь гном в теги, это ж его проект с закономерными итогами.

Добавил.

Из меня нулёвый веб-разработчик, но по ссылке https://www.comss.ru/page.php?id=16955 написана какая-то пурга:

Однако это доверие может оказаться ошибочным. Британский системный администратор по имени Майк Кардвелл (Mike Cardwell) выявил серьезную уязвимость. По его словам, если вредоносное письмо содержит HTML-тег следующего вида:

<link rel="dns-prefetch" href="some-tracking-domain.com">

то Evolution выполнит DNS-запрос к домену:

trackingcode.attackersdomain.example.com

сразу после открытия письма — даже если загрузка внешнего содержимого отключена.

Откуда взялся trackingcode.attackersdomain.example.com?? Кто и по какой формуле вывел его из конструкции <link rel="dns-prefetch" href="some-tracking-domain.com">?

Оригинальный баг более понятен:

If you view a HTML email in Evolution Mail, which contains a tag like this:

<link rel="dns-prefetch" href="https://trackingcode.attackersdomain.com">

Then even before clicking «Load remote content», a DNS lookup is performed for trackingcode.attackersdomain.com.

Т. е. почтовый клиент попытается разрезолвить trackingcode.attackersdomain.com. Ну, ок. Так запрос-то пойдёт к DNS серверу (либо предоставленному провайдером, либо явно указанному пользователем, типа 8.8.8.8), а не к trackingcode.attackersdomain.com. Чёт мне это не кажется большой уязвимостью. Когда один DNS сервер отправляет запрос вышестоящему DNS серверу, нешто IP адрес клиента передаётся по всей цепочке от одного DNS к другому?

Подымаешь свой DNS сервер, создаёшь для каждого получателя уникальный поддомен и по запросам смотришь какой поддомен был запрошен?
IP получателя может и не узнаешь, но зато узнаешь о факте открытия письма.
Хотя да, уязвимостью не особо-то и пахнет.

Подымаешь свой DNS сервер, создаёшь для каждого получателя уникальный поддомен и по запросам смотришь какой поддомен был запрошен?

Это понятно.

IP получателя может и не узнаешь, но зато узнаешь о факте открытия письма.

Но ТС гонит панику про раскрытие IP адреса — вот в чём вопрос.

Впрочем, и со своим DNS сервером тоже не всё ясно. Письмо при доставке проходит кучу промежуточных серверов, на каждом стоит какой-нибудь антиспам, антивирус, антималварь сканнер. Надо чтобы по дороге ни один сервер не попытался разрезолвить указанное имя, иначе все усилия коту под хвост.

написана какая-то пурга

Очевидно же, криво перевели. Возможно, переводили с помощью ИИ и тот навыдумывал своих доменов.

Но ТС гонит панику про раскрытие IP адреса — вот в чём вопрос.

Эти детали не особо важны, клиент шлёт какие-то внешние запросы, зависящие от содержимого письма, при том что слать он не должен ничего.

Уверен, даже с учётом твоих поправок, это всё ещё существенная утечка информации.

Очевидно же, криво перевели. Возможно, переводили с помощью ИИ и тот навыдумывал своих доменов.

Очевидно, что при таких предположениях доверять статье нельзя. Что ещё они криво перевели?

Эти детали не особо важны, клиент шлёт какие-то внешние запросы, зависящие от содержимого письма, при том что слать он не должен ничего.

Детали важны. Эта утечка, если она вообще есть, несущественная.

Детали неважны если есть цель — хейт Еволюшена или Гнома. Тады да, можно не разбираться а набрасывать по полной.

я сто лет уже не пользую почтовых клиентов

Теперь он рекомендует всем, кто заботится о своей приватности, отказаться от использования Evolution и выбрать другой почтовый клиент, поскольку, по его мнению, разработчики не считают проблему своей ответственностью.

А ведь этот почтовый клиент и в Astra Linux SE имеется.

Ссылка на установку

По этой же ссылке:

Программное обеспечение расширенного репозитория является сторонним по отношению к Astra Linux, не дорабатывается с точки зрения выполнения требований по безопасности информации и не проверяется при сертификации.

Потрясающе! И зачем же данное ПО/данный репозиторий сделали доступным для версии SE (Special Edition)?

Ты даже не представляешь, через какую жопу там устанавливается ПО