Heute wurde LibreOffice aktualisiert.
Mir ist dazu noch ein Gedanke gekommen. Der Fehler steckt ja im NSS von Mozilla. LibreOffice, wie andere, benutzen diese Libs. Wenn also LO einen Fix hat, müsste der nicht von Mozilla kommen? Oder ist NSS auch so lizenziert, dass die ihren eigenen Fork benutzen?
Hintergrund ist natürlich die Frage, weshalb für den Thunderbird noch kein Fix da ist.
LibreOffice, wie andere, benutzen diese Libs.
Genau. Man könnte meinen, ein Fix würde genügen.
Auf Heise:
QuoteMozilla hat ein eigenes Sicherheits-Advisory für die NSS-Lücke CVE-2021-43527 veröffentlicht. Demnach ist zumindest Firefox nicht betroffen, weil es für die Zertifikatsprüfung die Bibliothek mozilla::pkix einsetzt. Andere Programme wie Thunderbird, Evince und Evolution sind hingegen wahrscheinlich anfällig, wenn sie eine verwundbare NSS-Bibliothek benutzen. Die Versionen NSS 3.73 und NSS ESR 3.68.1 beseitigen den Fehler und damit auch die Schwachstelle. Ein Update der jeweiligen Software ist jedoch nicht zwingend erforderlich; sofern sie keine eigene NSS-Version mitbringt, genügt ein systemweites Update des NSS-Pakets.
Das geht in die Richtung. Leider steht nirgends, ob der Thunderbird seine eigene Version mitbringt oder ob er eine vorhandene des Systems benutzt.
Meines Erachtens nutzt Thunderbird die Bibliothek aus mozilla-central bzw. aus mozilla-esr91, wo diese kürzlich auf 3.68.1 aktualisiert wurde. Somit sollte das nächste Thunderbird-Release den Fix dann auch enthalten, hoffe ich.
Etwas mehr Licht in der finsteren Nacht. Danke. Das bedeutet, Thunderbird bringt seinen eigenen NSS-files mit und nutzt nicht gemeinsame Libs/Dlls?
Etwas mehr Licht in der finsteren Nacht.
Ich habe leider keine passende Lampe, aber Thunderbird nutzt ja beim Build-Prozess die Basis von mozilla-central bzw. derzeit mozilla-esr91. In mozilla-esr91 wurde NACH 91.4.0 die NSS auf 3.68.1 aktualisiert. Das heißt, Thunderbird 91.4.0 hat den Security-Fix noch nicht drin, wird ihn aber hoffentlich mit der nächsten Version ebenfalls mitbringen - je nachdem, was genau von mozilla-esr91 referenziert wird.
Korrektur:
Thunderbird 91.4.0 nutzt eine etwas neuere Code-Basis im Vergleich zu Firefox 91.4.0. In dieser etwas neueren Code-Basis ist die BigSig-Sicherheitslücke bereits behoben.
So wie es aussieht, ist die Lücke in Thunderbird 91.4.0 behoben
Sehr gut!
aus dem Beitrag:
QuoteVerwirrung herrschte nun teilweise darüber, ob das neuste Thunderbird-Update auf Version 91.4 die Sicherheitslücke geschlossen hat oder nicht. Teilweise wurde sogar auf Websites geschrieben, dass Thunderbird 91.4 die Sicherheitslücke nicht geschlossen hätte.
Tatsache ist jedoch, dass die „BigSig“-Sicherheitslücke in Thunderbird 91.4 geschlossen worden ist.
Grund für die Verwirrung ist vermutlich, dass die Liste geschlossener Sicherheitslücken in Thunderbird 91.4 nichts in dieser Art erwähnt. Das liegt aber daran, dass es sich dabei um keine Sicherheitslücke in Thunderbird selbst, sondern in NSS handelte, und Mozilla für NSS einen eigenen Sicherheits-Hinweis veröffentlicht hat.
Schade, dass wir selbst bei so etwas auf die Findigkeit gut eingeweihter Leute angewiesen sind. Die Kommunikation seitens Mozilla war hier nicht sehr glücklich. Selbst IT-Seiten tappten im Dunklen.
Dass der Fix in den neuesten NSS enthalten ist, konnte man gleich zu Beginn lesen. Das bringt einen aber nicht weiter. Denn die offene Frage war die, welche Version des Thunderbird bereits diese neuen Versionen von NSS benutzt. Wann LibreOffice, wann Evolution?
Damit ist m.E. dann eben keine Frage für die NSS-Leute mehr. Die haben ihren Job gemacht und haben keinen Einfluss darauf, ab wann andere die neue Version verwenden. Das ist Aufgabe der jeweiligen Produkte. So, wie es die Leute von LO ja auch gemacht haben.
Eine kurze Mitteilung in den Release Notes hätte schon gereicht.
So wissen wir leider nicht, ob das im Thunderbird bereits gefixt ist.
Wirklich nicht?
https://www.cve.org/CVERecord?id=CVE-2021-43527 --> BigSig
Okay, ihr habt Recht. Ich hatte einen kleinen aber entscheidenden Teil übersehen:
QuotePin mozilla-esr91 (FIREFOX_91_4_0esr_BUILD1+b6173cd78c9d)
Man hat also einen etwas späteren Code-Stand für Thunderbird genommen, der den NSS-Fix bereits enthält. Das hatte ich in meinen ersten Recherchen übersehen und daher (falsch) gedacht, dass in Thunderbird 91.4.0 die Sicherheitslücke noch nicht repariert sei.
Gut zu wissen ist also nach jetzigem Wissensstand:
Thunderbird 91.4.0 ist diesbezüglich (NSS / BigSig-Sicherheitslücke) wieder sicher.
Wirklich nicht?
Inzwischen ja, siehe #26 und #27. Dank Sören Hentzschel und und GPO99.
Um ganz ehrlich zu sein, die Links, die du genannt hast, das ist nicht das, was ich mir unter einer guten Kommunikation seitens Mozilla vorstelle. Es kann doch nicht sein, dass ich erst Bug-Reports usw. lesen muss, um zu erfahren, ob eine Version von einer als kritisch eingestuften Sicherheitslücke betroffen ist.
Das erinnert mich an den Anhalter. Dort gab es auch einen öffentlichen Aushang, in dem angekündigt wurde, dass die Erde wegen einer geplanten galaktischen Autobahn gesprengt wird. Sogar mit Einspruchsmöglichkeit. Leider befand sich dieser Aushang auf einem anderen Planeten.
Geraden eben gesehen. Ein Dank an Thunder und/oder graba. Hier im Forum ist die Information im Bereich der Nachrichten nun da und gut sichtbar. Das ging fix.
Ein Dank an Thunder und/oder graba
Ehre, wem Ehre gebührt: 
Thunder ist für die Information verantwortlich.
