2017-2315: Enigmail: Mehrere Schwachstellen ermöglichen u.a. das Darstellen falscher Informationen
Historie:
- Version 1 (2017-12-22 15:13)
- Neues Advisory
- Version 2 (2017-12-27 14:14)
- Mittlerweile sind offizielle Schwachstellenbezeichner für die einzelnen Schwachstellen vergeben worden. Die vormals unter TBE-01-021 referenzierte Schwachstelle hat dabei zwei unterschiedliche CVEs (CVE-2017-17847, CVE-2017-17848) erhalten. Debian stellt für Debian Jessie (oldstable) und Stretch (stable) Sicherheitsupdates für Enigmail auf Version 1.9.9 bereit, um die Schwachstellen zu beheben. Diese Softwareversion steht ebenfalls für SUSE Package Hub for SUSE Linux Enterprise 12 sowie openSUSE Leap 42.2 und 42.3 als Sicherheitsupdate bereit.
Betroffene Software
Office
Sicherheit
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in Enigmail, von denen zwei als kritisch eingestuft werden, ermöglichen einem entfernten, nicht authentisierten Angreifer das Darstellen falscher Informationen, das Ausspähen von Informationen, das Umgehen von Sicherheitsvorkehrungen sowie einen Denial-of-Service (DoS)-Angriff.
Das Enigmail-Projekt stellt die Enigmail Version 1.9.9 als Quellcode und in Binärform als Sicherheitsupdate bereit, um die Schwachstellen zu schließen.
Da die Wirksamkeit der Fehlerkorrekturen von der eingesetzten Thunderbird Version und der damit verwendeten Add-on-Architektur abhängt, empfehlen die Entdecker der Schwachstellen die Installation der aktuellsten Thunderbird Version (siehe zusätzliche Information, Thunderbird 52.5.2).
Für Fedora 26, 27 und Fedora EPEL 7 steht jeweils das Paket 'thunderbird-enigmail-1.9.9-1' zur Verfügung, um die Schwachstellen zu beheben. Die Sicherheitsupdates für Fedora 26 und 27 befinden sich noch im Status 'pending', während das Update für Fedora EPEL 7 bereits den Status 'testing' besitzt.
Schwachstellen:
CVE-2017-17843
Schwachstelle in Enigmail ermöglicht Darstellen falscher InformationenCVE-2017-17844
Schwachstelle in Enigmail ermöglicht Ausspähen von InformationenCVE-2017-17845
Schwachstelle in Enigmail ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2017-17846
Schwachstelle in Enigmail ermöglicht Denial-of-Service-AngriffCVE-2017-17847
Schwachstelle in Enigmail ermöglicht Darstellen falscher InformationenCVE-2017-17848
Schwachstelle in Enigmail ermöglicht Darstellen falscher Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.