27. 08. 2014

Enigmail je bezpečnostní doplněk pro e-mailové aplikace Mozilla Thunderbird a Seamonkey. Toto rozšíření umožňuje přijímat a psát e-mailové zprávy podepsané a/nebo zašifrované pomocí standardu OpenPGP.

Charakteristika zranitelnosti

Zranitelnost je způsobena chybou v šifrovacím doplňku Enigmail, a to v případě, že hlavička e-mailové zprávy obsahuje pouze příjemce ve skryté kopii (Bcc). Je-li takto napsaná zpráva odeslána, nedochází k jejímu zašifrování pomocí PGP klíče příjemce, ale je zaslána ve formátu prostého textu.

Postižené systémy

  • Enigmail 1.7

Dopad zranitelnosti

Odchozí e-mailová zpráva, jejíž příjemce je uveden ve skryté kopii (Bcc), není zašifrována PGP klíčem.

Řešení

Tento problém byl vyřešen ve verzích 1.7.1 a 1.8.0, které jsou v současnosti v testovací fázi. Do doby vydání ostré verze proto doporučujeme neodesílat PGP šifrované zprávy s uvedením příjemce v poli skryté kopie (Bcc).

CVE

CVE-2014-5369.

Odkazy

https://bugzilla.redhat.com/show_bug.cgi?id=1133373
http://sourceforge.net/p/enigmail/forum/support/thread/3e7268a4/#b315
http://sourceforge.net/p/enigmail/bugs/294/