1. Startseite
  2. Nachrichten
  3. Herunterladen
    1. Thunderbird Release-Version
    2. Thunderbird 140 ESR
    3. Thunderbird 128 ESR
    4. Thunderbird 115 ESR
    5. Thunderbird Beta-Version
    6. Sprachpaket (Benutzeroberfläche)
    7. Wörterbücher (Rechtschreibprüfung)
  4. Hilfe & Lexikon
    1. Anleitungen zu Thunderbird
    2. Fragen & Antworten (FAQ) zu Thunderbird
    3. Hilfe zu dieser Webseite
  5. Forum
    1. Unerledigte Themen
    2. Letzte Beiträge
    3. Themen der letzten 24 Stunden
  • Anmelden
  • Registrieren
  • 
  • Suche
Dieses Thema
  • Alles
  • Dieses Thema
  • Dieses Forum
  • Forum
  • Lexikon
  • Artikel
  • Seiten
  • Erweiterte Suche
  1. Thunderbird Mail DE
  2. Forum
  3. Diskussionen
  4. Diskussion rund um Thunderbird & E-Mail

BigSig-Lücke: Mozilla schließt kritische Schwachstelle in Krypto-Bibliothek NSS - Thunderbird 91.4.0 ist wieder sicher

  • edvoldi
  • 3. Dezember 2021 um 11:14
  • Geschlossen
  • Unerledigt
  • Susi to visit
    Senior-Mitglied
    Reaktionen
    501
    Beiträge
    2.827
    Mitglied seit
    19. Sep. 2020
    Hilfreiche Antworten
    29
    • 9. Dezember 2021 um 09:06
    • #21
    Zitat von edvoldi

    Heute wurde LibreOffice aktualisiert.

    Mir ist dazu noch ein Gedanke gekommen. Der Fehler steckt ja im NSS von Mozilla. LibreOffice, wie andere, benutzen diese Libs. Wenn also LO einen Fix hat, müsste der nicht von Mozilla kommen? Oder ist NSS auch so lizenziert, dass die ihren eigenen Fork benutzen?

    Hintergrund ist natürlich die Frage, weshalb für den Thunderbird noch kein Fix da ist.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Altstadt
    Senior-Mitglied
    Reaktionen
    61
    Beiträge
    505
    Mitglied seit
    30. Apr. 2021
    Hilfreiche Antworten
    4
    • 9. Dezember 2021 um 19:42
    • #22
    Zitat von Susi to visit

    LibreOffice, wie andere, benutzen diese Libs.

    Genau. Man könnte meinen, ein Fix würde genügen.

    Auf Heise:

    Zitat

    Mozilla hat ein eigenes Sicherheits-Advisory für die NSS-Lücke CVE-2021-43527 veröffentlicht. Demnach ist zumindest Firefox nicht betroffen, weil es für die Zertifikatsprüfung die Bibliothek mozilla::pkix einsetzt. Andere Programme wie Thunderbird, Evince und Evolution sind hingegen wahrscheinlich anfällig, wenn sie eine verwundbare NSS-Bibliothek benutzen. Die Versionen NSS 3.73 und NSS ESR 3.68.1 beseitigen den Fehler und damit auch die Schwachstelle. Ein Update der jeweiligen Software ist jedoch nicht zwingend erforderlich; sofern sie keine eigene NSS-Version mitbringt, genügt ein systemweites Update des NSS-Pakets.

    Das geht in die Richtung. Leider steht nirgends, ob der Thunderbird seine eigene Version mitbringt oder ob er eine vorhandene des Systems benutzt.

    Unser Verein. Unsere DNA.

  • Thunder
    Administrator
    Reaktionen
    780
    Artikel
    283
    Beiträge
    7.284
    Einträge
    169
    Mitglied seit
    8. Jul. 2003
    Hilfreiche Antworten
    58
    • 9. Dezember 2021 um 20:19
    • #23

    Meines Erachtens nutzt Thunderbird die Bibliothek aus mozilla-central bzw. aus mozilla-esr91, wo diese kürzlich auf 3.68.1 aktualisiert wurde. Somit sollte das nächste Thunderbird-Release den Fix dann auch enthalten, hoffe ich.

    Gruß
    Thunder ( Mein persönlicher Wunschzettel )

    Keine Hilfe per Konversation! - Danke für Euer Engagement und Eure Geduld!

  • Susi to visit
    Senior-Mitglied
    Reaktionen
    501
    Beiträge
    2.827
    Mitglied seit
    19. Sep. 2020
    Hilfreiche Antworten
    29
    • 9. Dezember 2021 um 20:25
    • #24

    Etwas mehr Licht in der finsteren Nacht. Danke. Das bedeutet, Thunderbird bringt seinen eigenen NSS-files mit und nutzt nicht gemeinsame Libs/Dlls?

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Thunder
    Administrator
    Reaktionen
    780
    Artikel
    283
    Beiträge
    7.284
    Einträge
    169
    Mitglied seit
    8. Jul. 2003
    Hilfreiche Antworten
    58
    • 9. Dezember 2021 um 21:15
    • #25
    Zitat von Susi to visit

    Etwas mehr Licht in der finsteren Nacht.

    Ich habe leider keine passende Lampe, aber Thunderbird nutzt ja beim Build-Prozess die Basis von mozilla-central bzw. derzeit mozilla-esr91. In mozilla-esr91 wurde NACH 91.4.0 die NSS auf 3.68.1 aktualisiert. Das heißt, Thunderbird 91.4.0 hat den Security-Fix noch nicht drin, wird ihn aber hoffentlich mit der nächsten Version ebenfalls mitbringen - je nachdem, was genau von mozilla-esr91 referenziert wird.

    Korrektur:
    Thunderbird 91.4.0 nutzt eine etwas neuere Code-Basis im Vergleich zu Firefox 91.4.0. In dieser etwas neueren Code-Basis ist die BigSig-Sicherheitslücke bereits behoben.

    Gruß
    Thunder ( Mein persönlicher Wunschzettel )

    Keine Hilfe per Konversation! - Danke für Euer Engagement und Eure Geduld!

  • GPO99
    Mitglied
    Reaktionen
    4
    Beiträge
    13
    Mitglied seit
    6. Feb. 2021
    • 10. Dezember 2021 um 06:25
    • #26

    So wie es aussieht, ist die Lücke in Thunderbird 91.4.0 behoben

    Thunderbird 91.4 behebt BigSig-Sicherheitslücke
    Nachdem Unklarheit herrschte, ob Thunderbird 91.4 die
    www.soeren-hentzschel.at
  • Susi to visit
    Senior-Mitglied
    Reaktionen
    501
    Beiträge
    2.827
    Mitglied seit
    19. Sep. 2020
    Hilfreiche Antworten
    29
    • 10. Dezember 2021 um 09:13
    • #27

    Sehr gut!

    aus dem Beitrag:

    Zitat

    Verwirrung herrschte nun teilweise darüber, ob das neuste Thunderbird-Update auf Version 91.4 die Sicherheitslücke geschlossen hat oder nicht. Teilweise wurde sogar auf Websites geschrieben, dass Thunderbird 91.4 die Sicherheitslücke nicht geschlossen hätte.

    Tatsache ist jedoch, dass die „BigSig“-Sicherheitslücke in Thunderbird 91.4 geschlossen worden ist.

    Grund für die Verwirrung ist vermutlich, dass die Liste geschlossener Sicherheitslücken in Thunderbird 91.4 nichts in dieser Art erwähnt. Das liegt aber daran, dass es sich dabei um keine Sicherheitslücke in Thunderbird selbst, sondern in NSS handelte, und Mozilla für NSS einen eigenen Sicherheits-Hinweis veröffentlicht hat.

    Schade, dass wir selbst bei so etwas auf die Findigkeit gut eingeweihter Leute angewiesen sind. Die Kommunikation seitens Mozilla war hier nicht sehr glücklich. Selbst IT-Seiten tappten im Dunklen.

    Dass der Fix in den neuesten NSS enthalten ist, konnte man gleich zu Beginn lesen. Das bringt einen aber nicht weiter. Denn die offene Frage war die, welche Version des Thunderbird bereits diese neuen Versionen von NSS benutzt. Wann LibreOffice, wann Evolution?

    Damit ist m.E. dann eben keine Frage für die NSS-Leute mehr. Die haben ihren Job gemacht und haben keinen Einfluss darauf, ab wann andere die neue Version verwenden. Das ist Aufgabe der jeweiligen Produkte. So, wie es die Leute von LO ja auch gemacht haben.

    Eine kurze Mitteilung in den Release Notes hätte schon gereicht.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • jorgk3
    Gast
    • 10. Dezember 2021 um 11:55
    • #28
    Zitat von Susi to visit

    So wissen wir leider nicht, ob das im Thunderbird bereits gefixt ist.

    Wirklich nicht?

    comm-esr91 @ ad632382eeac0b4d6160e60ac1c66ccb47deb22a
    No bug - Pin mozilla-esr91 (FIREFOX_91_4_0esr_BUILD1+b6173cd78c9d). r=release a=rjl
    hg.mozilla.org
    mozilla-esr91 @ b6173cd78c9d522f2e3257c408933db4f9cedc13
    Bug 1737470 - land NSS NSS_3_68_1_RTM UPGRADE_NSS_RELEASE, r=kaie a=RyanVM
    hg.mozilla.org

    https://www.cve.org/CVERecord?id=CVE-2021-43527 --> BigSig

    Memory corruption in NSS via DER-encoded DSA and RSA-PSS signatures
    www.mozilla.org
  • Thunder
    Administrator
    Reaktionen
    780
    Artikel
    283
    Beiträge
    7.284
    Einträge
    169
    Mitglied seit
    8. Jul. 2003
    Hilfreiche Antworten
    58
    • 10. Dezember 2021 um 12:21
    • #29

    Okay, ihr habt Recht. Ich hatte einen kleinen aber entscheidenden Teil übersehen:

    Zitat

    Pin mozilla-esr91 (FIREFOX_91_4_0esr_BUILD1+b6173cd78c9d)

    Man hat also einen etwas späteren Code-Stand für Thunderbird genommen, der den NSS-Fix bereits enthält. Das hatte ich in meinen ersten Recherchen übersehen und daher (falsch) gedacht, dass in Thunderbird 91.4.0 die Sicherheitslücke noch nicht repariert sei.

    Gut zu wissen ist also nach jetzigem Wissensstand:

    Thunderbird 91.4.0 ist diesbezüglich (NSS / BigSig-Sicherheitslücke) wieder sicher.

    Gruß
    Thunder ( Mein persönlicher Wunschzettel )

    Keine Hilfe per Konversation! - Danke für Euer Engagement und Eure Geduld!

  • Thunder 10. Dezember 2021 um 12:30

    Hat den Titel des Themas von „BigSig-Lücke: Mozilla schließt kritische Schwachstelle in Krypto-Bibliothek NSS“ zu „BigSig-Lücke: Mozilla schließt kritische Schwachstelle in Krypto-Bibliothek NSS - Thunderbird 91.4.0 ist wieder sicher“ geändert.
  • Susi to visit
    Senior-Mitglied
    Reaktionen
    501
    Beiträge
    2.827
    Mitglied seit
    19. Sep. 2020
    Hilfreiche Antworten
    29
    • 10. Dezember 2021 um 16:08
    • #30
    Zitat von jorgk3

    Wirklich nicht?

    Inzwischen ja, siehe #26 und #27. Dank Sören Hentzschel und und GPO99.

    Um ganz ehrlich zu sein, die Links, die du genannt hast, das ist nicht das, was ich mir unter einer guten Kommunikation seitens Mozilla vorstelle. Es kann doch nicht sein, dass ich erst Bug-Reports usw. lesen muss, um zu erfahren, ob eine Version von einer als kritisch eingestuften Sicherheitslücke betroffen ist.

    Das erinnert mich an den Anhalter. Dort gab es auch einen öffentlichen Aushang, in dem angekündigt wurde, dass die Erde wegen einer geplanten galaktischen Autobahn gesprengt wird. Sogar mit Einspruchsmöglichkeit. Leider befand sich dieser Aushang auf einem anderen Planeten.

    Geraden eben gesehen. Ein Dank an Thunder und/oder graba. Hier im Forum ist die Information im Bereich der Nachrichten nun da und gut sichtbar. Das ging fix.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    2 Mal editiert, zuletzt von Susi to visit (10. Dezember 2021 um 16:50)

  • graba
    Globaler Moderator
    Reaktionen
    580
    Beiträge
    21.539
    Mitglied seit
    17. Mai. 2006
    Hilfreiche Antworten
    9
    • 10. Dezember 2021 um 17:27
    • #31
    Zitat von Susi to visit

    Ein Dank an Thunder und/oder graba

    Ehre, wem Ehre gebührt: ;) Thunder ist für die Information verantwortlich.

    Gruß
    graba :ziehtdenhut:

    Keine Forenhilfe per Konversation!
    Für Thunderbird-Entwicklung spenden

  • Community-Bot 3. September 2024 um 20:50

    Hat das Thema geschlossen.

Aktuelle Programmversion

  • Thunderbird 140.0 veröffentlicht

    Thunder 3. Juli 2025 um 01:02

Aktuelle 128 ESR-Version

  • Thunderbird 128.12.0 ESR veröffentlicht

    Thunder 1. Juli 2025 um 22:16

Keine Werbung

Hier wird auf Werbeanzeigen verzichtet. Vielleicht geben Sie dem Website-Betreiber (Alexander Ihrig - aka "Thunder") stattdessen etwas aus, um diese Seiten auf Dauer finanzieren zu können. Vielen Dank!

Vielen Dank für die Unterstützung!

Kaffee ausgeben für:

Per Paypal unterstützen*

*Weiterleitung zu PayPal.Me

Thunderbird Mail DE
  1. Impressum & Kontakt
  2. Datenschutzerklärung
    1. Einsatz von Cookies
  3. Nutzungsbedingungen
  4. Spendenaufruf für Thunderbird
Hilfe zu dieser Webseite
  • Übersicht der Hilfe zur Webseite
  • Die Suchfunktion benutzen
  • Foren-Benutzerkonto - Erstellen (Neu registrieren)
  • Foren-Thema erstellen und bearbeiten
  • Passwort vergessen - neues Passwort festlegen
Copyright © 2003-2025 Thunderbird Mail DE

Sie befinden sich NICHT auf einer offiziellen Seite der Mozilla Foundation. Mozilla®, mozilla.org®, Firefox®, Thunderbird™, Bugzilla™, Sunbird®, XUL™ und das Thunderbird-Logo sind (neben anderen) eingetragene Markenzeichen der Mozilla Foundation.

Community-Software: WoltLab Suite™