BigSig-Lücke: Mozilla schließt kritische Schwachstelle in Krypto-Bibliothek NSS - Thunderbird 91.4.0 ist wieder sicher

  • Heute wurde LibreOffice aktualisiert.

    Mir ist dazu noch ein Gedanke gekommen. Der Fehler steckt ja im NSS von Mozilla. LibreOffice, wie andere, benutzen diese Libs. Wenn also LO einen Fix hat, müsste der nicht von Mozilla kommen? Oder ist NSS auch so lizenziert, dass die ihren eigenen Fork benutzen?

    Hintergrund ist natürlich die Frage, weshalb für den Thunderbird noch kein Fix da ist.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • LibreOffice, wie andere, benutzen diese Libs.

    Genau. Man könnte meinen, ein Fix würde genügen.


    Auf Heise:

    Quote

    Mozilla hat ein eigenes Sicherheits-Advisory für die NSS-Lücke CVE-2021-43527 veröffentlicht. Demnach ist zumindest Firefox nicht betroffen, weil es für die Zertifikatsprüfung die Bibliothek mozilla::pkix einsetzt. Andere Programme wie Thunderbird, Evince und Evolution sind hingegen wahrscheinlich anfällig, wenn sie eine verwundbare NSS-Bibliothek benutzen. Die Versionen NSS 3.73 und NSS ESR 3.68.1 beseitigen den Fehler und damit auch die Schwachstelle. Ein Update der jeweiligen Software ist jedoch nicht zwingend erforderlich; sofern sie keine eigene NSS-Version mitbringt, genügt ein systemweites Update des NSS-Pakets.

    Das geht in die Richtung. Leider steht nirgends, ob der Thunderbird seine eigene Version mitbringt oder ob er eine vorhandene des Systems benutzt.

    Unser Verein. Unsere DNA.

  • Meines Erachtens nutzt Thunderbird die Bibliothek aus mozilla-central bzw. aus mozilla-esr91, wo diese kürzlich auf 3.68.1 aktualisiert wurde. Somit sollte das nächste Thunderbird-Release den Fix dann auch enthalten, hoffe ich.

  • Etwas mehr Licht in der finsteren Nacht. Danke. Das bedeutet, Thunderbird bringt seinen eigenen NSS-files mit und nutzt nicht gemeinsame Libs/Dlls?

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • Etwas mehr Licht in der finsteren Nacht.

    Ich habe leider keine passende Lampe, aber Thunderbird nutzt ja beim Build-Prozess die Basis von mozilla-central bzw. derzeit mozilla-esr91. In mozilla-esr91 wurde NACH 91.4.0 die NSS auf 3.68.1 aktualisiert. Das heißt, Thunderbird 91.4.0 hat den Security-Fix noch nicht drin, wird ihn aber hoffentlich mit der nächsten Version ebenfalls mitbringen - je nachdem, was genau von mozilla-esr91 referenziert wird.


    Korrektur:
    Thunderbird 91.4.0 nutzt eine etwas neuere Code-Basis im Vergleich zu Firefox 91.4.0. In dieser etwas neueren Code-Basis ist die BigSig-Sicherheitslücke bereits behoben.

  • Sehr gut!


    aus dem Beitrag:


    Quote

    Verwirrung herrschte nun teilweise darüber, ob das neuste Thunderbird-Update auf Version 91.4 die Sicherheitslücke geschlossen hat oder nicht. Teilweise wurde sogar auf Websites geschrieben, dass Thunderbird 91.4 die Sicherheitslücke nicht geschlossen hätte.

    Tatsache ist jedoch, dass die „BigSig“-Sicherheitslücke in Thunderbird 91.4 geschlossen worden ist.

    Grund für die Verwirrung ist vermutlich, dass die Liste geschlossener Sicherheitslücken in Thunderbird 91.4 nichts in dieser Art erwähnt. Das liegt aber daran, dass es sich dabei um keine Sicherheitslücke in Thunderbird selbst, sondern in NSS handelte, und Mozilla für NSS einen eigenen Sicherheits-Hinweis veröffentlicht hat.


    Schade, dass wir selbst bei so etwas auf die Findigkeit gut eingeweihter Leute angewiesen sind. Die Kommunikation seitens Mozilla war hier nicht sehr glücklich. Selbst IT-Seiten tappten im Dunklen.

    Dass der Fix in den neuesten NSS enthalten ist, konnte man gleich zu Beginn lesen. Das bringt einen aber nicht weiter. Denn die offene Frage war die, welche Version des Thunderbird bereits diese neuen Versionen von NSS benutzt. Wann LibreOffice, wann Evolution?

    Damit ist m.E. dann eben keine Frage für die NSS-Leute mehr. Die haben ihren Job gemacht und haben keinen Einfluss darauf, ab wann andere die neue Version verwenden. Das ist Aufgabe der jeweiligen Produkte. So, wie es die Leute von LO ja auch gemacht haben.

    Eine kurze Mitteilung in den Release Notes hätte schon gereicht.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

  • So wissen wir leider nicht, ob das im Thunderbird bereits gefixt ist.

    Wirklich nicht?

    comm-esr91 @ ad632382eeac0b4d6160e60ac1c66ccb47deb22a
    No bug - Pin mozilla-esr91 (FIREFOX_91_4_0esr_BUILD1+b6173cd78c9d). r=release a=rjl
    hg.mozilla.org

    mozilla-esr91 @ b6173cd78c9d522f2e3257c408933db4f9cedc13
    Bug 1737470 - land NSS NSS_3_68_1_RTM UPGRADE_NSS_RELEASE, r=kaie a=RyanVM
    hg.mozilla.org

    https://www.cve.org/CVERecord?id=CVE-2021-43527 --> BigSig

  • Okay, ihr habt Recht. Ich hatte einen kleinen aber entscheidenden Teil übersehen:

    Quote

    Pin mozilla-esr91 (FIREFOX_91_4_0esr_BUILD1+b6173cd78c9d)

    Man hat also einen etwas späteren Code-Stand für Thunderbird genommen, der den NSS-Fix bereits enthält. Das hatte ich in meinen ersten Recherchen übersehen und daher (falsch) gedacht, dass in Thunderbird 91.4.0 die Sicherheitslücke noch nicht repariert sei.


    Gut zu wissen ist also nach jetzigem Wissensstand:

    Thunderbird 91.4.0 ist diesbezüglich (NSS / BigSig-Sicherheitslücke) wieder sicher.

  • Thunder

    Changed the title of the thread from “BigSig-Lücke: Mozilla schließt kritische Schwachstelle in Krypto-Bibliothek NSS” to “BigSig-Lücke: Mozilla schließt kritische Schwachstelle in Krypto-Bibliothek NSS - Thunderbird 91.4.0 ist wieder sicher”.
  • Wirklich nicht?

    Inzwischen ja, siehe #26 und #27. Dank Sören Hentzschel und und GPO99.


    Um ganz ehrlich zu sein, die Links, die du genannt hast, das ist nicht das, was ich mir unter einer guten Kommunikation seitens Mozilla vorstelle. Es kann doch nicht sein, dass ich erst Bug-Reports usw. lesen muss, um zu erfahren, ob eine Version von einer als kritisch eingestuften Sicherheitslücke betroffen ist.

    Das erinnert mich an den Anhalter. Dort gab es auch einen öffentlichen Aushang, in dem angekündigt wurde, dass die Erde wegen einer geplanten galaktischen Autobahn gesprengt wird. Sogar mit Einspruchsmöglichkeit. Leider befand sich dieser Aushang auf einem anderen Planeten.


    Geraden eben gesehen. Ein Dank an Thunder und/oder graba. Hier im Forum ist die Information im Bereich der Nachrichten nun da und gut sichtbar. Das ging fix.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Edited 2 times, last by Susi to visit ().