2018-0917: Efail: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen

Historie:

Version 1 (2018-05-14 17:57)

Neues Advisory

Version 2 (2018-05-18 11:40)

Das Enigmail Project stellt Enigmail 2.0.4 zur Verfügung, mit dem zwei Workarounds gegen die Efail-Schwachstellen umgesetzt werden. Für openSUSE Leap 42.3 und SUSE Package Hub for SUSE Linux Enterprise 12 stehen Sicherheitsupdates für Enigmail auf diese Version zur Verfügung.

Version 3 (2018-05-22 12:09)

Für Fedora 26, 27 und 28 sowie Fedora EPEL 7 stehen Sicherheitsupdates in Form von 'thunderbird-enigmail-2.0.4-1'-Paketen im Status 'testing' bereit.

Version 4 (2018-05-22 12:54)

Für openSUSE Leap 15.0 steht nun ebenfalls ein Sicherheitsupdate für Enigmail auf diese Version zur Verfügung, um diese beiden Schwachstellen zu beheben.

Version 5 (2018-05-22 18:41)

Enigmail 2.0.5 steht als neues Sicherheitsupdate zur Verfügung, mit dem weitere Mitigationen gegen die Efail-Schwachstellen bereitgestellt werden. Die Entwickler von Enigmail haben diese Version veröffentlicht, da die Entwicklung der Patches für Thunderbird (siehe gesondertes Advisory) und Enigmail bisher nur auf die Darstellung von HTML-Inhalten beschränkt war. Beginnend mit dieser Version von Enigmail wird die Entschlüsselung von PGP/MIME-Nachrichtenteilen nur noch vollzogen, wenn die gesamte Nachricht verschlüsselt ist oder der betrachtete Nachrichtenteil eine in sich vollständig verschlüsselte Email darstellt. Die Entwickler von Enigmail greifen damit in Teilen der Entwicklung von Thunderbird vor. Dies führt dazu, dass beispielsweise in vollständig verschlüsselten Emails eingebettete Bilder nicht mehr von Thunderbird dargestellt werden können, wenn diese als Nachrichtenteil einer Email vorliegen.

Version 6 (2018-05-24 12:51)

Für openSUSE Leap in den Versionen 15.0 und 42.3 sowie SUSE Package Hub for SUSE Linux Enterprise 12 stehen Sicherheitsupdates für Enigmail auf die Version 2.0.5 zur Verfügung, um die beiden Schwachstellen zu beheben.

Version 7 (2018-05-28 16:24)

Das offizielle Enigmail Release 2.0.6 steht bereit zur Behebung der zusätzlichen Schwachstellen ENIGMAIL-849 und ENIGMAIL-851. Für Fedora 26, 27 und 28 sowie Fedora EPEL 7 stehen Sicherheitsupdates in Form von 'thunderbird-enigmail-2.0.6-1'-Paketen zur Behebung der zusätzlichen Schwachstellen ENIGMAIL-849 und ENIGMAIL-851 bereit, die sich derzeit noch im Status 'pending' befinden. Das frühere Update auf die Enigmail 2.0.4 für Fedora EPEL 7 (FEDORA-EPEL-2018-3a39b00b77) wurde in den Status 'obsolete' versetzt und deshalb hier entfernt, während sich die anderen Updates auf diese Version inzwischen im Status 'stable' befinden.

Version 8 (2018-05-29 12:48)

Für openSUSE Leap in den Versionen 15.0 und 42.3 sowie SUSE Package Hub for SUSE Linux Enterprise 12 stehen erneut Sicherheitsupdates für Enigmail zur Verfügung, diesmal auf die Version 2.0.6.

Version 9 (2018-07-11 16:49)

Für den Mailclient Thunderbird steht die Version 52.9.1 zur Verfügung, mit der die unter dem Namen 'EFAIL' bekannten Schwachstellen laut Herstellerangaben komplett behoben werden.

Version 10 (2018-07-12 14:23)

Für Fedora 27 und 28 stehen Sicherheitsupdates auf die aktuelle Version 52.9.1 von Thunderbird im Status 'pending' bereit. Weitere Updates auf diese Version werden für SUSE Package Hub for SUSE Linux Enterprise 12 sowie für openSUSE Leap 42.3 und 15.0 zur Verfügung gestellt.

Betroffene Software

Middleware
Office
Sicherheit

Betroffene Plattformen

Apple
Linux
Microsoft
UNIX

Beschreibung:

Mehrere Schwachstellen in verschiedenen Email-Clients ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen aus verschlüsselten Emails.

Der Angreifer muss bereits Zugriff auf diese Emails besitzen und sie manipulieren können. Dies ist aus einer Position im Netzwerk auf der Transportroute heraus oder durch Zugriff auf Email-Konten oder den Email-Server selbst möglich. Außerdem muss der Angreifer einen Server bereitstellen, der die unverschlüsselten Email-Inhalte annimmt, nachdem ein Benutzer die Email in seinem Client entschlüsselt hat. Der Aufwand, diesen Angriff durchzuführen, ist also recht hoch. Von Angriffen in der Breite ist daher nicht auszugehen, sondern eher von gezielten Taten. Die eigentliche Verschlüsselung der Mails ist durch erfolgreiche Ausnutzung der Schwachstellen nicht gebrochen.

Die Forschergruppe, die die Schwachstellen veröffentlicht hat, hat diese 'Efail' getauft. Die Schwachstellen haben die Bezeichner CVE-2017-17688 und CVE-2017-17689 erhalten. Vermutlich werden in Kürze weitere Schwachstellenbezeichner in diesem Kontext von verschiedenen Herstellern von Email-Clients beantragt. Diese werden dann hier ergänzt.

Für das Betriebssystem Windows sind laut der Forschergruppe die Email-Clients Outlook 2007 und IBM Notes betroffen. Unter Linux sind dies Gnome Evolution, Mozilla Thunderbird und KMail, für macOS die Programme Apple Mail und die Mail App. Der Web-basierte Email-Dienst GMail ist ebenfalls betroffen.

Patches für betroffene Clients sind bisher noch nicht verfügbar, dürften aber kurzfristig zur Verfügung gestellt werden.

Schwachstellen:

CVE-2017-17688

Schwachstelle in Email-Clients ermöglicht Ausspähen von Informationen

CVE-2017-17689

Schwachstelle in Email-Clients ermöglicht Ausspähen von Informationen

ENIGMAIL-849

Schwachstelle in Enigmail ermöglicht Darstellen falscher Informationen

ENIGMAIL-851

Schwachstelle in Enigmail ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.