Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 10 (10.01.20):
Für openSUSE Leap 15.1 steht als Sicherheitsupdate Thunderbird 68.3.0 ESR
zur Verfügung.
Version 9 (19.12.19):
Für SUSE Linux Enterprise Workstation Extension in den Versionen 15 und 15
SP1 stehen Sicherheitsupdates bereit, mit denen MozillaThunderbird auf
Version 68.3.0 ESR aktualisiert wird.
Version 8 (16.12.19):
Für Debian 8 Jessie (LTS) steht ebenfalls ein Sicherheitsupdate auf Basis
von Thunderbird 68.3.0 bereit, mit dem die Schwachstellen CVE-2019-17005,
CVE-2019-17008, CVE-2019-17010, CVE-2019-17011 und CVE-2019-17012
adressiert werden.
Version 7 (16.12.19):
Für Debian 10 Buster (stable) und Debian 9 Stretch (oldstable) stehen
Sicherheitsupdates auf Basis von Thunderbird 68.3.0 bereit, mit denen die
Schwachstellen CVE-2019-17005, CVE-2019-17008, CVE-2019-17010,
CVE-2019-17011 und CVE-2019-17012 adressiert werden.
Version 6 (11.12.19):
Für Oracle Linux 8 steht ein Sicherheitsupdate bereit, mit dem Thunderbird
auf Version 68.3.0 aktualisiert wird.
Version 5 (11.12.19):
Für Red Hat Enterprise Linux Desktop, Server und Workstation 6 stehen
Sicherheitsupdates für Thunderbird auf Version 68.3.0 bereit.
Version 4 (11.12.19):
Für Oracle Linux 7 steht ein Sicherheitsupdate bereit, mit dem Thunderbird
auf Version 68.3.0 aktualisiert wird.
Version 3 (11.12.19):
Für Red Hat Enterprise Linux 8 steht ein Sicherheitsupdate bereit, mit dem
Thunderbird auf Version 68.3.0 aktualisiert wird.
Version 2 (10.12.19):
Für Red Hat Enterprise Linux Desktop, Server und Workstation 7, Red Hat
Enterprise Linux for x86_64 – Extended Update Support 7.7 sowie Red Hat
Enterprise Linux Server – AUS 7.7 und TUS 7.7 stehen Sicherheitsupdates
für Thunderbird auf Version 68.3.0 bereit.
Version 1 (05.12.19):
Neues Advisory
Mehrere Schwachstellen ermöglichen einem entfernten, nicht authentisierten
Angreifer das Ausführen beliebigen Programmcodes, verschiedene Denial-of-
Service (DoS)-Angriffe und möglicherweise weitere Angriffe. Eine weitere
Schwachstelle ermöglicht einem lokalen, nicht authentisierten Angreifer das
Ausspähen von Informationen. Im allgemeinen können diese Schwachstellen
nicht per E-Mail ausgenutzt werden, weil die Ausführung von Skripten in
Thunderbird deaktiviert ist, sie stellen aber in Browser oder Browser-
ähnlichem Kontext ein potentielles Risiko dar.
Der Hersteller veröffentlicht Thunderbird 68.3.0 als Sicherheitsupdate zur
Behebung der Schwachstellen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2019-2566]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
