<table><tr><td style="">vkrause created this revision.<br />Herald added a project: KDE PIM.<br />Herald added a subscriber: kde-pim.<br />vkrause requested review of this revision.
</td><a style="text-decoration: none; padding: 4px 8px; margin: 0 8px 8px; float: right; color: #464C5C; font-weight: bold; border-radius: 3px; background-color: #F7F7F9; background-image: linear-gradient(to bottom,#fff,#f1f0f1); display: inline-block; border: 1px solid rgba(71,87,120,.2);" href="https://phabricator.kde.org/D29640">View Revision</a></tr></table><br /><div><strong>REVISION SUMMARY</strong><div><p>That is, we ended up handling e.g. "Repl:" as "Reply-To:" here, and thus<br />
this can have side-effects on application behavior such as determining who<br />
to send a reply to. As this might allow bypasses of mechanisms that sign<br />
certain subsets of relevant headers, this is rather problematic.</p>

<p>This is caused by only checking the length of the input string, but not<br />
the length of the expected string for the name comparison.</p>

<p>Thanks to Marcus Brinkmann for discovering this.</p></div></div><br /><div><strong>REPOSITORY</strong><div><div>R180 PIM: KMime</div></div></div><br /><div><strong>BRANCH</strong><div><div>release/20.04</div></div></div><br /><div><strong>REVISION DETAIL</strong><div><a href="https://phabricator.kde.org/D29640">https://phabricator.kde.org/D29640</a></div></div><br /><div><strong>AFFECTED FILES</strong><div><div>autotests/data/mails/reply-header.mbox<br />
autotests/messagetest.cpp<br />
autotests/messagetest.h<br />
src/kmime_headerfactory.cpp</div></div></div><br /><div><strong>To: </strong>vkrause<br /><strong>Cc: </strong>kde-pim, fbampaloukas, dvasin, rodsevich, winterz, vkrause, mlaurent, knauss, dvratil<br /></div>