Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 4 (17.09.18):
Für Debian Stretch (stable) steht ein Sicherheitsupdate bereit, mit dem
‘thunderbird’ auf den Vesionszweig 60.x aktualisiert wird. Debian weist
darauf hin, dass die umfangreichen Änderungen beim damit erfolgten
Versionssprung von Versionszweig 52.x dazu geführt haben, dass einige
Erweiterungen für Thunderbird nicht mehr funktionieren. Darüber hinaus
werden bestimmte Architekturen aktuell noch nicht unterstützt (mips,
mips64el, mipsel). Im Sicherheitshinweis des Herstellers werden nur die
Schwachstellen CVE-2018-5156, CVE-2018-5187, CVE-2018-12361,
CVE-2018-12367 und CVE-2018-12371 genannt.
Version 3 (10.09.18):
Für openSUSE Leap 15.0 und 42.3 stehen Sicherheitsupdates für Thunderbird
auf Version 60.0 bereit.
Version 2 (07.09.18):
Für Fedora 27 und 28 stehen Sicherheitsupdates für Thunderbird auf Version
60.0 im Status ‘testing’ bereit.
Version 1 (07.08.18):
Neues Advisory

Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR betreffen auch
Thunderbird und ermöglichen einem entfernten, nicht authentisierten
Angreifer das Ausführen beliebigen Programmcodes, das Ausspähen von
Informationen und die Durchführung eines Cross-Site-Request-Forgery (CSRF)-
und eines Denial-of-Service (DoS)-Angriffs.

Grundsätzlich können die Schwachstellen in Mozilla Thunderbird nicht per
Email ausgenutzt werden, da die Ausführung von Skript-Programmcode beim
Lesen von E-Mails deaktiviert ist. Die Schwachstellen stellen aber ein
potentielles Risiko in Browsern oder Browser-ähnlichem Kontext dar.

Der Hersteller stellt Thunderbird 60 als Sicherheitsupdate zur Behebung der
Schwachstellen über die eigene Webseite zur Verfügung. Mit der neuen Version
werden umfassende Änderungen umgesetzt, die auch Auswirkungen auf den
Kalender und andere Erweiterungen haben können. Ein Upgrade von Thunderbird
52 oder früher auf die neue Version ist nicht verfügbar, mehrere der
Schwachstellen wurden bereits mit vorherigen Updates für Thunderbird
adressiert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1552]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 3 (10.09.18):
Für openSUSE Leap 15.0 und 42.3 stehen Sicherheitsupdates für Thunderbird
auf Version 60.0 bereit.
Version 2 (07.09.18):
Für Fedora 27 und 28 stehen Sicherheitsupdates für Thunderbird auf Version
60.0 im Status ‘testing’ bereit.
Version 1 (07.08.18):
Neues Advisory

Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR betreffen auch
Thunderbird und ermöglichen einem entfernten, nicht authentisierten
Angreifer das Ausführen beliebigen Programmcodes, das Ausspähen von
Informationen und die Durchführung eines Cross-Site-Request-Forgery (CSRF)-
und eines Denial-of-Service (DoS)-Angriffs.

Grundsätzlich können die Schwachstellen in Mozilla Thunderbird nicht per
Email ausgenutzt werden, da die Ausführung von Skript-Programmcode beim
Lesen von E-Mails deaktiviert ist. Die Schwachstellen stellen aber ein
potentielles Risiko in Browsern oder Browser-ähnlichem Kontext dar.

Der Hersteller stellt Thunderbird 60 als Sicherheitsupdate zur Behebung der
Schwachstellen über die eigene Webseite zur Verfügung. Mit der neuen Version
werden umfassende Änderungen umgesetzt, die auch Auswirkungen auf den
Kalender und andere Erweiterungen haben können. Ein Upgrade von Thunderbird
52 oder früher auf die neue Version ist nicht verfügbar, mehrere der
Schwachstellen wurden bereits mit vorherigen Updates für Thunderbird
adressiert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1552]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (07.09.18):
Für Fedora 27 und 28 stehen Sicherheitsupdates für Thunderbird auf Version
60.0 im Status ‘testing’ bereit.
Version 1 (07.08.18):
Neues Advisory

Mehrere Schwachstellen in Mozilla Firefox und Firefox ESR betreffen auch
Thunderbird und ermöglichen einem entfernten, nicht authentisierten
Angreifer das Ausführen beliebigen Programmcodes, das Ausspähen von
Informationen und die Durchführung eines Cross-Site-Request-Forgery (CSRF)-
und eines Denial-of-Service (DoS)-Angriffs.

Grundsätzlich können die Schwachstellen in Mozilla Thunderbird nicht per
Email ausgenutzt werden, da die Ausführung von Skript-Programmcode beim
Lesen von E-Mails deaktiviert ist. Die Schwachstellen stellen aber ein
potentielles Risiko in Browsern oder Browser-ähnlichem Kontext dar.

Der Hersteller stellt Thunderbird 60 als Sicherheitsupdate zur Behebung der
Schwachstellen über die eigene Webseite zur Verfügung. Mit der neuen Version
werden umfassende Änderungen umgesetzt, die auch Auswirkungen auf den
Kalender und andere Erweiterungen haben können. Ein Upgrade von Thunderbird
52 oder früher auf die neue Version ist nicht verfügbar, mehrere der
Schwachstellen wurden bereits mit vorherigen Updates für Thunderbird
adressiert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-1552]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html