Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 6 (08.03.2016):
Canonical stellt für die Distributionen Ubuntu 12.04 LTS, 14.04 LTS und
15.10 Sicherheitsupdates auf die Version 38.6.0 zur Verfügung, um die
Schwachstellen CVE-2015-7575, CVE-2016-1523, CVE-2016-1930 und
CVE-2016-1935 zu beheben.
Version 5 (25.02.2016):
Debian stellt für die Distributionen Wheezy (old stable), Jessie (stable)
und Stretch (testing) Sicherheitsupdates auf die Icedove Version 38.6.0
zur Verfügung, um die Schwachstellen CVE-2015-7575, CVE-2016-1523,
CVE-2016-1930 und CVE-2016-1935 zu beheben.
Version 4 (22.02.2016):
Für Fedora 22 und 23 stehen Sicherheitsupdates auf die Thunderbird Version
38.6.0 in Form der Pakete thunderbird-38.6.0-1.fc22 im Status ‘testing’
und thunderbird-38.6.0-1.fc23 im Status ‘stable’ zur Verfügung.
Version 3 (18.02.2016):
Red Hat stellt für verschiedene Enterprise Linux 5, 6 und 7 Produkte
Sicherheitsupdates auf die Thunderbird Version 38.6.0 zur Verfügung.
Version 2 (17.02.2016):
openSUSE stellt für openSUSE Leap 42.1, openSUSE 13.2 und openSUSE 13.1
Sicherheitsupdates auf die Thunderbird Version 38.6.0 bereit.
Version 1 (17.02.2016):
Neues Advisory

Betroffene Software:

Debian Icedove < 38.6.0 Mozilla Thunderbird < 38.6 Betroffene Plattformen: Red Hat Optional Productivity Applications 5 Server Apple Mac OS X Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 15.10 Debian Linux 7.9 Wheezy Debian Linux 8.3 Jessie Debian Linux 9.0 Stretch GNU/Linux Microsoft Windows openSUSE 13.1 openSUSE 13.2 openSUSE Leap 42.1 Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 6.7.z EUS Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server 7.2 AUS Red Hat Enterprise Linux Server 7.2 EUS Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 22 Red Hat Fedora 23 Mehrere Schwachstellen in Mozilla Thunderbird ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes, verschiedene Denial-of-Service-Angriffe und das Umgehen von Sicherheitsvorkehrungen. Mozilla informiert mit Updates auf die Mozilla Foundation Security Advisories 2015-150, 2016-01, 2016-03 und 2016-14 darüber, dass Mozilla Thunderbird von den Schwachstellen betroffen ist, aber lediglich die Schwachstelle CVE-2015-7575 Mozilla Thunderbird direkt angreifbar macht. Die weiteren Schwachstellen können nicht per Email ausgenutzt werden, stellen aber ein Sicherheitsrisiko in Browsern und einem Browser ähnlichen Umgebungen dar. Die Mozilla Foundation stellt ein Update auf Mozilla Thunderbird 38.6 bereit, das alle angegebenen Schwachstellen behebt. Patch: Mozilla Thunderbird Update Seite https://www.mozilla.org/de/thunderbird

Patch:

Mozilla Foundation Security Advisory 2015-150

https://www.mozilla.org/en-US/security/advisories/mfsa2015-150/

Patch:

Mozilla Foundation Security Advisory 2016-01

https://www.mozilla.org/en-US/security/advisories/mfsa2016-01/

Patch:

Mozilla Foundation Security Advisory 2016-03

https://www.mozilla.org/en-US/security/advisories/mfsa2016-03/

Patch:

Mozilla Foundation Security Advisory MFSA 2016-14

https://www.mozilla.org/en-US/security/advisories/mfsa2016-14/

Patch:

openSUSE Security Update openSUSE-SU-2016:0488-1

http://lists.opensuse.org/opensuse-updates/2016-02/msg00101.html

Patch:

openSUSE Security Update openSUSE-SU-2016:0492-1

http://lists.opensuse.org/opensuse-updates/2016-02/msg00105.html

Patch:

Red Hat Security Advisory RHSA-2016:0258

http://rhn.redhat.com/errata/RHSA-2016-0258.html

Patch:

Fedora Security Update FEDORA-2016-4aeba0f53d (Fedora 23, Thunderbird
38.6.0)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-4aeba0f53d

Patch:

Fedora Security Update FEDORA-2016-6a006e78d9 (Fedora 22, Thunderbird
38.6.0)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-6a006e78d9

Patch:

Debian Security Advisory DSA-3491-1

https://www.debian.org/security/2016/dsa-3491

Patch:

Ubuntu Security Notice USN-2904-1

http://www.ubuntu.com/usn/usn-2904-1/

CVE-2016-1526: Schwachstelle in Graphite2 ermöglicht
Denial-of-Service-Angriff

Die Funktion ‘TtfUtil::LocaLookup’ in der Datei ‘TtfUtil.cpp’ von
Libgraphite validiert fälschlicherweise den Wert für die lokale
Tabellengröße einer Schriftdatei. Wird dieser auf Null gesetzt, kommt es zum
Zugriff auf Speicher außerhalb des zugewiesenen Bereichs. Ein entfernter,
nicht authentifizierter Angreifer kann einen Denial-of-Service-Angriff
ausführen und darüber hinaus Informationen ausspähen.

CVE-2016-1522: Schwachstelle in Graphite2 ermöglicht
Denial-of-Service-Angriff

In der Datei ‘Code.cpp’ von Libgraphite werden rekursive Aufrufe
nachzuladender Dateien während eines Größentests nicht berücksichtigt, was
zu einem Pufferüberlauf führt. Ein entfernter, nicht authentifizierter
Angreifer kann mit Hilfe einer speziell präparierten Schriftdatei einen
Denial-of-Service-Angriff durchführen und darüber hinaus möglicherweise
beliebigen Programmcode ausführen.

CVE-2016-1521: Schwachstelle in Graphite2 ermöglicht Ausführung beliebigen
Programmcodes

Die Funktion ‘directrun’ in der Datei ‘directmachine.cpp’ von Libgraphite
validiert eine bestimmte ‘skip’-Operation nicht, so dass der Zugriff auf
Speicher außerhalb des zugewiesenen Bereichs mit Hilfe einer speziell
präparierten Schriftdatei möglich wird. Ein entfernter, nicht
authentifizierter Angreifer kann beliebigen Programmcode ausführen,
Informationen ausspähen und einen Denial-of-Service-Zustand auslösen.

CVE-2016-1523: Schwachstelle in Graphite2 ermöglicht Ausführung beliebigen
Programmcodes

Über eine speziell präparierte Schriftart im Kontext von Graphite2 in der
Version 1.2.4, welches u.a. in Firefox ESR vor Version 38.6.1 eingesetzt
wird, können interne Anweisungsparameter übergangen werden. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
beliebigen Programmcode ausführen.

CVE-2016-1935: Schwachstelle in Mozilla Firefox ermöglicht
Denial-of-Service-Angriff

Bei der Verarbeitung von WebGL-Inhalten kann es durch eine nicht näher
spezifizierte Schwachstelle in Mozilla Firefox und Firefox ESR zu einem
Pufferüberlauf (buffer overflow) kommen. Ein entfernter, nicht
authentifizierter Angreifer erhält dadurch möglicherweise Schreibzugriff auf
nicht zugewiesenen Speicher und kann einen Absturz verursachen
(Denial-of-Service) oder möglicherweise beliebigen Programmcode ausführen.

CVE-2016-1931: Schwachstellen in Mozilla Firefox ermöglichen Ausführen
beliebigen Programmcodes

Es existieren mehrere nicht näher spezifizierte Schwachstellen in Mozilla
Firefox aufgrund von Sicherheitsmängeln in der Speicherverwaltung. Dadurch
kann unter bestimmten Umständen der Speicher korrumpiert werden, wodurch ein
entfernter, nicht authentifizierter Angreifer in der Lage ist beliebigen
Programmcode zur Ausführung zu bringen.

CVE-2016-1930: Schwachstellen in Mozilla Firefox ermöglichen Ausführen
beliebigen Programmcodes

Es existieren mehrere nicht näher spezifizierte Schwachstellen in Mozilla
Firefox und Mozilla Firefox ESR aufgrund von Sicherheitsmängeln in der
Speicherverwaltung. Dadurch kann unter bestimmten Umständen der Speicher
korrumpiert werden, wodurch ein entfernter, nicht authentifizierter
Angreifer in der Lage ist beliebigen Programmcode zur Ausführung zu bringen.

CVE-2015-7575: Schwachstelle in Network Security Services ermöglicht das
Umgehen von Sicherheitsvorkehrungen

Eine Schwachstelle in den Network Security Services (NSS) basiert auf der
Akzeptanz von MD5 als Hash-Algorithmus für Server-Signaturen innerhalb von
TLS 1.2 ServerKeyExchange Nachrichten. NSS hat MD5 eigentlich seit dem Jahr
2011 offiziell verboten, nur umgesetzt wurde es nicht vollständig. Damit
werden NSS-basierte Client-Anwendungen wie z.B. Firefox anfällig für
Fälschungsangriffe, die durch Kollisionen verursacht sind. Ein entfernter,
nicht authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0288/

Mozilla Thunderbird Update Seite:
https://www.mozilla.org/de/thunderbird

Mozilla Foundation Security Advisory 2015-150:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-150/

Schwachstelle CVE-2015-7575 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7575

Mozilla Foundation Security Advisory 2016-01:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-01/

Mozilla Foundation Security Advisory 2016-03:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-03/

Schwachstelle CVE-2016-1930 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1930

Schwachstelle CVE-2016-1931 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1931

Schwachstelle CVE-2016-1935 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1935

Schwachstelle CVE-2016-1521 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1521

Schwachstelle CVE-2016-1522 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1522

Schwachstelle CVE-2016-1523 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1523

Mozilla Foundation Security Advisory MFSA 2016-14:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-14/

Schwachstelle CVE-2016-1526 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1526

openSUSE Security Update openSUSE-SU-2016:0488-1:
http://lists.opensuse.org/opensuse-updates/2016-02/msg00101.html

openSUSE Security Update openSUSE-SU-2016:0492-1:
http://lists.opensuse.org/opensuse-updates/2016-02/msg00105.html

Mozilla Thunderbird 38.6 – Known Vulnerabilities:
https://www.mozilla.org/en-US/security/known-vulnerabilities/thunderbird/#thunderbird38.6

Red Hat Security Advisory RHSA-2016:0258:
http://rhn.redhat.com/errata/RHSA-2016-0258.html

Fedora Security Update FEDORA-2016-4aeba0f53d (Fedora 23, Thunderbird 38.6.0):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-4aeba0f53d

Fedora Security Update FEDORA-2016-6a006e78d9 (Fedora 22, Thunderbird 38.6.0):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-6a006e78d9

Debian Security Advisory DSA-3491-1:
https://www.debian.org/security/2016/dsa-3491

Ubuntu Security Notice USN-2904-1:
http://www.ubuntu.com/usn/usn-2904-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (25.02.2016):
Debian stellt für die Distributionen Wheezy (old stable), Jessie (stable)
und Stretch (testing) Sicherheitsupdates auf die Icedove Version 38.6.0
zur Verfügung, um die Schwachstellen CVE-2015-7575, CVE-2016-1523,
CVE-2016-1930 und CVE-2016-1935 zu beheben.
Version 4 (22.02.2016):
Für Fedora 22 und 23 stehen Sicherheitsupdates auf die Thunderbird Version
38.6.0 in Form der Pakete thunderbird-38.6.0-1.fc22 im Status ‘testing’
und thunderbird-38.6.0-1.fc23 im Status ‘stable’ zur Verfügung.
Version 3 (18.02.2016):
Red Hat stellt für verschiedene Enterprise Linux 5, 6 und 7 Produkte
Sicherheitsupdates auf die Thunderbird Version 38.6.0 zur Verfügung.
Version 2 (17.02.2016):
openSUSE stellt für openSUSE Leap 42.1, openSUSE 13.2 und openSUSE 13.1
Sicherheitsupdates auf die Thunderbird Version 38.6.0 bereit.
Version 1 (17.02.2016):
Neues Advisory

Betroffene Software:

Debian Icedove < 38.6.0 Mozilla Thunderbird < 38.6 Betroffene Plattformen: Red Hat Optional Productivity Applications 5 Server Apple Mac OS X Debian Linux 7.9 Wheezy Debian Linux 8.3 Jessie Debian Linux 9.0 Stretch GNU/Linux Microsoft Windows openSUSE 13.1 openSUSE 13.2 openSUSE Leap 42.1 Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Desktop 7 Red Hat Enterprise Linux Server 6 Red Hat Enterprise Linux Server 6.7.z EUS Red Hat Enterprise Linux Server 7 Red Hat Enterprise Linux Server 7.2 AUS Red Hat Enterprise Linux Server 7.2 EUS Red Hat Enterprise Linux Workstation 6 Red Hat Enterprise Linux Workstation 7 Red Hat Fedora 22 Red Hat Fedora 23 Mehrere Schwachstellen in Mozilla Thunderbird ermöglichen einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes, verschiedene Denial-of-Service-Angriffe und das Umgehen von Sicherheitsvorkehrungen. Mozilla informiert mit Updates auf die Mozilla Foundation Security Advisories 2015-150, 2016-01, 2016-03 und 2016-14 darüber, dass Mozilla Thunderbird von den Schwachstellen betroffen ist, aber lediglich die Schwachstelle CVE-2015-7575 Mozilla Thunderbird direkt angreifbar macht. Die weiteren Schwachstellen können nicht per Email ausgenutzt werden, stellen aber ein Sicherheitsrisiko in Browsern und einem Browser ähnlichen Umgebungen dar. Die Mozilla Foundation stellt ein Update auf Mozilla Thunderbird 38.6 bereit, das alle angegebenen Schwachstellen behebt. Patch: Mozilla Thunderbird Update Seite https://www.mozilla.org/de/thunderbird

Patch:

Mozilla Foundation Security Advisory 2015-150

https://www.mozilla.org/en-US/security/advisories/mfsa2015-150/

Patch:

Mozilla Foundation Security Advisory 2016-01

https://www.mozilla.org/en-US/security/advisories/mfsa2016-01/

Patch:

Mozilla Foundation Security Advisory 2016-03

https://www.mozilla.org/en-US/security/advisories/mfsa2016-03/

Patch:

Mozilla Foundation Security Advisory MFSA 2016-14

https://www.mozilla.org/en-US/security/advisories/mfsa2016-14/

Patch:

openSUSE Security Update openSUSE-SU-2016:0488-1

http://lists.opensuse.org/opensuse-updates/2016-02/msg00101.html

Patch:

openSUSE Security Update openSUSE-SU-2016:0492-1

http://lists.opensuse.org/opensuse-updates/2016-02/msg00105.html

Patch:

Red Hat Security Advisory RHSA-2016:0258

http://rhn.redhat.com/errata/RHSA-2016-0258.html

Patch:

Fedora Security Update FEDORA-2016-4aeba0f53d (Fedora 23, Thunderbird
38.6.0)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-4aeba0f53d

Patch:

Fedora Security Update FEDORA-2016-6a006e78d9 (Fedora 22, Thunderbird
38.6.0)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-6a006e78d9

Patch:

Debian Security Advisory DSA-3491-1

https://www.debian.org/security/2016/dsa-3491

CVE-2016-1526: Schwachstelle in Graphite2 ermöglicht
Denial-of-Service-Angriff

Die Funktion ‘TtfUtil::LocaLookup’ in der Datei ‘TtfUtil.cpp’ von
Libgraphite validiert fälschlicherweise den Wert für die lokale
Tabellengröße einer Schriftdatei. Wird dieser auf Null gesetzt, kommt es zum
Zugriff auf Speicher außerhalb des zugewiesenen Bereichs. Ein entfernter,
nicht authentifizierter Angreifer kann einen Denial-of-Service-Angriff
ausführen und darüber hinaus Informationen ausspähen.

CVE-2016-1522: Schwachstelle in Graphite2 ermöglicht
Denial-of-Service-Angriff

In der Datei ‘Code.cpp’ von Libgraphite werden rekursive Aufrufe
nachzuladender Dateien während eines Größentests nicht berücksichtigt, was
zu einem Pufferüberlauf führt. Ein entfernter, nicht authentifizierter
Angreifer kann mit Hilfe einer speziell präparierten Schriftdatei einen
Denial-of-Service-Angriff durchführen und darüber hinaus möglicherweise
beliebigen Programmcode ausführen.

CVE-2016-1521: Schwachstelle in Graphite2 ermöglicht Ausführung beliebigen
Programmcodes

Die Funktion ‘directrun’ in der Datei ‘directmachine.cpp’ von Libgraphite
validiert eine bestimmte ‘skip’-Operation nicht, so dass der Zugriff auf
Speicher außerhalb des zugewiesenen Bereichs mit Hilfe einer speziell
präparierten Schriftdatei möglich wird. Ein entfernter, nicht
authentifizierter Angreifer kann beliebigen Programmcode ausführen,
Informationen ausspähen und einen Denial-of-Service-Zustand auslösen.

CVE-2016-1523: Schwachstelle in Graphite2 ermöglicht Ausführung beliebigen
Programmcodes

Über eine speziell präparierte Schriftart im Kontext von Graphite2 in der
Version 1.2.4, welches u.a. in Firefox ESR vor Version 38.6.1 eingesetzt
wird, können interne Anweisungsparameter übergangen werden. Ein entfernter,
nicht authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um
beliebigen Programmcode ausführen.

CVE-2016-1935: Schwachstelle in Mozilla Firefox ermöglicht
Denial-of-Service-Angriff

Bei der Verarbeitung von WebGL-Inhalten kann es durch eine nicht näher
spezifizierte Schwachstelle in Mozilla Firefox und Firefox ESR zu einem
Pufferüberlauf (buffer overflow) kommen. Ein entfernter, nicht
authentifizierter Angreifer erhält dadurch möglicherweise Schreibzugriff auf
nicht zugewiesenen Speicher und kann einen Absturz verursachen
(Denial-of-Service) oder möglicherweise beliebigen Programmcode ausführen.

CVE-2016-1931: Schwachstellen in Mozilla Firefox ermöglichen Ausführen
beliebigen Programmcodes

Es existieren mehrere nicht näher spezifizierte Schwachstellen in Mozilla
Firefox aufgrund von Sicherheitsmängeln in der Speicherverwaltung. Dadurch
kann unter bestimmten Umständen der Speicher korrumpiert werden, wodurch ein
entfernter, nicht authentifizierter Angreifer in der Lage ist beliebigen
Programmcode zur Ausführung zu bringen.

CVE-2016-1930: Schwachstellen in Mozilla Firefox ermöglichen Ausführen
beliebigen Programmcodes

Es existieren mehrere nicht näher spezifizierte Schwachstellen in Mozilla
Firefox und Mozilla Firefox ESR aufgrund von Sicherheitsmängeln in der
Speicherverwaltung. Dadurch kann unter bestimmten Umständen der Speicher
korrumpiert werden, wodurch ein entfernter, nicht authentifizierter
Angreifer in der Lage ist beliebigen Programmcode zur Ausführung zu bringen.

CVE-2015-7575: Schwachstelle in Network Security Services ermöglicht das
Umgehen von Sicherheitsvorkehrungen

Eine Schwachstelle in den Network Security Services (NSS) basiert auf der
Akzeptanz von MD5 als Hash-Algorithmus für Server-Signaturen innerhalb von
TLS 1.2 ServerKeyExchange Nachrichten. NSS hat MD5 eigentlich seit dem Jahr
2011 offiziell verboten, nur umgesetzt wurde es nicht vollständig. Damit
werden NSS-basierte Client-Anwendungen wie z.B. Firefox anfällig für
Fälschungsangriffe, die durch Kollisionen verursacht sind.
Ein entfernter, nicht authentisierter Angreifer kann Sicherheitsvorkehrungen
umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0288/

Mozilla Thunderbird Update Seite:
https://www.mozilla.org/de/thunderbird

Mozilla Foundation Security Advisory 2015-150:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-150/

Schwachstelle CVE-2015-7575 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7575

Mozilla Foundation Security Advisory 2016-01:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-01/

Mozilla Foundation Security Advisory 2016-03:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-03/

Schwachstelle CVE-2016-1930 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1930

Schwachstelle CVE-2016-1931 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1931

Schwachstelle CVE-2016-1935 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1935

Schwachstelle CVE-2016-1521 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1521

Schwachstelle CVE-2016-1522 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1522

Schwachstelle CVE-2016-1523 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1523

Mozilla Foundation Security Advisory MFSA 2016-14:
https://www.mozilla.org/en-US/security/advisories/mfsa2016-14/

Schwachstelle CVE-2016-1526 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1526

openSUSE Security Update openSUSE-SU-2016:0488-1:
http://lists.opensuse.org/opensuse-updates/2016-02/msg00101.html

openSUSE Security Update openSUSE-SU-2016:0492-1:
http://lists.opensuse.org/opensuse-updates/2016-02/msg00105.html

Mozilla Thunderbird 38.6 – Known Vulnerabilities:
https://www.mozilla.org/en-US/security/known-vulnerabilities/thunderbird/#thunderbird38.6

Red Hat Security Advisory RHSA-2016:0258:
http://rhn.redhat.com/errata/RHSA-2016-0258.html

Fedora Security Update FEDORA-2016-4aeba0f53d (Fedora 23, Thunderbird 38.6.0):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-4aeba0f53d

Fedora Security Update FEDORA-2016-6a006e78d9 (Fedora 22, Thunderbird 38.6.0):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-6a006e78d9

Debian Security Advisory DSA-3491-1:
https://www.debian.org/security/2016/dsa-3491

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.