Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 10 (12.07.18):
Für Fedora 27 und 28 stehen Sicherheitsupdates auf die aktuelle Version
52.9.1 von Thunderbird im Status ‘pending’ bereit. Weitere Updates auf
diese Version werden für SUSE Package Hub for SUSE Linux Enterprise 12
sowie für openSUSE Leap 42.3 und 15.0 zur Verfügung gestellt.
Version 9 (11.07.18):
Für den Mailclient Thunderbird steht die Version 52.9.1 zur Verfügung, mit
der die unter dem Namen ‘EFAIL’ bekannten Schwachstellen laut
Herstellerangaben komplett behoben werden.
Version 8 (29.05.18):
Für openSUSE Leap in den Versionen 15.0 und 42.3 sowie SUSE Package Hub
for SUSE Linux Enterprise 12 stehen erneut Sicherheitsupdates für Enigmail
zur Verfügung, diesmal auf die Version 2.0.6.
Version 7 (28.05.18):
Das offizielle Enigmail Release 2.0.6 steht bereit zur Behebung der
zusätzlichen Schwachstellen ENIGMAIL-849 und ENIGMAIL-851. Für Fedora 26,
27 und 28 sowie Fedora EPEL 7 stehen Sicherheitsupdates in Form von
‘thunderbird-enigmail-2.0.6-1’-Paketen zur Behebung der zusätzlichen
Schwachstellen ENIGMAIL-849 und ENIGMAIL-851 bereit, die sich derzeit noch
im Status ‘pending’ befinden. Das frühere Update auf die Enigmail 2.0.4
für Fedora EPEL 7 (FEDORA-EPEL-2018-3a39b00b77) wurde in den Status
‘obsolete’ versetzt und deshalb hier entfernt, während sich die anderen
Updates auf diese Version inzwischen im Status ‘stable’ befinden.
Version 6 (24.05.18):
Für openSUSE Leap in den Versionen 15.0 und 42.3 sowie SUSE Package Hub
for SUSE Linux Enterprise 12 stehen Sicherheitsupdates für Enigmail auf
die Version 2.0.5 zur Verfügung, um die beiden Schwachstellen zu beheben.
Version 5 (22.05.18):
Enigmail 2.0.5 steht als neues Sicherheitsupdate zur Verfügung, mit dem
weitere Mitigationen gegen die Efail-Schwachstellen bereitgestellt werden.
Die Entwickler von Enigmail haben diese Version veröffentlicht, da die
Entwicklung der Patches für Thunderbird (siehe gesondertes Advisory) und
Enigmail bisher nur auf die Darstellung von HTML-Inhalten beschränkt war.
Beginnend mit dieser Version von Enigmail wird die Entschlüsselung von PGP
/MIME-Nachrichtenteilen nur noch vollzogen, wenn die gesamte Nachricht
verschlüsselt ist oder der betrachtete Nachrichtenteil eine in sich
vollständig verschlüsselte Email darstellt. Die Entwickler von Enigmail
greifen damit in Teilen der Entwicklung von Thunderbird vor. Dies führt
dazu, dass beispielsweise in vollständig verschlüsselten Emails
eingebettete Bilder nicht mehr von Thunderbird dargestellt werden können,
wenn diese als Nachrichtenteil einer Email vorliegen.
Version 4 (22.05.18):
Für openSUSE Leap 15.0 steht nun ebenfalls ein Sicherheitsupdate für
Enigmail auf diese Version zur Verfügung, um diese beiden Schwachstellen
zu beheben.
Version 3 (22.05.18):
Für Fedora 26, 27 und 28 sowie Fedora EPEL 7 stehen Sicherheitsupdates in
Form von ‘thunderbird-enigmail-2.0.4-1’-Paketen im Status ‘testing’
bereit.
Version 2 (18.05.18):
Das Enigmail Project stellt Enigmail 2.0.4 zur Verfügung, mit dem zwei
Workarounds gegen die Efail-Schwachstellen umgesetzt werden. Für openSUSE
Leap 42.3 und SUSE Package Hub for SUSE Linux Enterprise 12 stehen
Sicherheitsupdates für Enigmail auf diese Version zur Verfügung.
Version 1 (14.05.18):
Neues Advisory
Mehrere Schwachstellen in verschiedenen Email-Clients ermöglichen einem
entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen
aus verschlüsselten Emails.
Der Angreifer muss bereits Zugriff auf diese Emails besitzen und sie
manipulieren können. Dies ist aus einer Position im Netzwerk auf der
Transportroute heraus oder durch Zugriff auf Email-Konten oder den Email-
Server selbst möglich. Außerdem muss der Angreifer einen Server
bereitstellen, der die unverschlüsselten Email-Inhalte annimmt, nachdem ein
Benutzer die Email in seinem Client entschlüsselt hat. Der Aufwand, diesen
Angriff durchzuführen, ist also recht hoch. Von Angriffen in der Breite ist
daher nicht auszugehen, sondern eher von gezielten Taten. Die eigentliche
Verschlüsselung der Mails ist durch erfolgreiche Ausnutzung der
Schwachstellen nicht gebrochen.
Die Forschergruppe, die die Schwachstellen veröffentlicht hat, hat diese
‘Efail’ getauft. Die Schwachstellen haben die Bezeichner CVE-2017-17688 und
CVE-2017-17689 erhalten. Vermutlich werden in Kürze weitere
Schwachstellenbezeichner in diesem Kontext von verschiedenen Herstellern von
Email-Clients beantragt. Diese werden dann hier ergänzt.
Für das Betriebssystem Windows sind laut der Forschergruppe die Email-
Clients Outlook 2007 und IBM Notes betroffen. Unter Linux sind dies Gnome
Evolution, Mozilla Thunderbird und KMail, für macOS die Programme Apple Mail
und die Mail App. Der Web-basierte Email-Dienst GMail ist ebenfalls
betroffen.
Patches für betroffene Clients sind bisher noch nicht verfügbar, dürften
aber kurzfristig zur Verfügung gestellt werden.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0917]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
