Kurzinfo CB-K17/2215

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Enigmail: Mehrere Schwachstellen ermöglichen u.a. das Darstellen falscher Informationen
Datum: 22.12.2017
Software: Enigmail < 1.9.9
Plattform: Apple macOS, GNU/Linux, Microsoft Windows , Red Hat Fedora 26, Red Hat Fedora 27, Extra Packages for Red Hat Enterprise Linux 7
Auswirkung: Darstellen falscher Informationen
Remoteangriff: Ja
Risiko: hoch
Bezug: Enigmail ChangeLog Version 1.9.9
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

Die Sicherheitserweiterung Enigmail, für Mozilla Thunderbird und Seamonkey, erlaubt das Senden und Empfangen von erschlüsselten OpenPGP Nachrichten.

Mehrere Schwachstellen in Enigmail, von denen zwei als kritisch eingestuft werden, ermöglichen einem entfernten, nicht authentisierten Angreifer das Darstellen falscher Informationen, das Ausspähen von Informationen, das Umgehen von Sicherheitsvorkehrungen sowie einen Denial-of-Service (DoS)-Angriff. Das Enigmail-Projekt stellt die Enigmail Version 1.9.9 als Quellcode und in Binärform als Sicherheitsupdate bereit, um die Schwachstellen zu schließen. Da die Wirksamkeit der Fehlerkorrekturen von der eingesetzten Thunderbird Version und der damit verwendeten Add-on-Architektur abhängt, empfehlen die Entdecker der Schwachstellen die Installation der aktuellsten Thunderbird Version (siehe zusätzliche Information, Thunderbird 52.5.2). Für Fedora 26, 27 und Fedora EPEL 7 steht jeweils das Paket 'thunderbird-enigmail-1.9.9-1' zur Verfügung, um die Schwachstellen zu beheben. Die Sicherheitsupdates für Fedora 26 und 27 befinden sich noch im Status 'pending', während das Update für Fedora EPEL 7 bereits den Status 'testing' besitzt.

  1. Enigmail ChangeLog Version 1.9.9

  2. Enigmail Download-Seite Binärdatei

  3. Enigmail Download-Seite Quellcode

  4. Fedora Security Update FEDORA-2017-54288fb74e (Fedora 27, thunderbird-enigmail-1.9.9-1.fc27)

  5. Fedora Security Update FEDORA-2017-856a149a4c (Fedora 26, thunderbird-enigmail-1.9.9-1.fc26)

  6. Fedora Security Update FEDORA-EPEL-2017-c3fbd2a463 (Fedora EPEL 7, thunderbird-enigmail-1.9.9-1.el7)

  7. Pentest-Report Enigmail by Cure53 (Auszug)

  8. Sicherheits-Warnung für Thunderbird- und Enigmail-Nutzer: Schwachstellen gefährden Vertraulichkeit der Kommunikation

  9. Thunderbird Release Notes Version 52.5.2

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.