Thunderbird 38.1.0 (und neuer) und die ESR-Version 31.8.0 enthalten von den Firefox-Kern-Entwicklern durchgeführte Verbesserungen, um die verbreitete Schwachstelle „Logjam“ (CVE-2015-4000) in allen Mozilla-Produkten zu beheben.
Was bedeutet das für mich?
Wenn Ihr E-Mail-Server nicht noch sehr alte Schlüssel für SSL/TLS verwendet, nichts. Wenn Ihr Server noch nicht aktualisiert wurde und ein neueres Schlüsselpaar (2048 Bit) verwendet, schlägt Ihre Verbindung zu dem Server mit der folgenden bezeichnenden Meldung in der Fehlerkonsole (Strg + Umschalttaste + J) fehl:
Was sollte ich tun?
- Wenn ein von Ihnen genutzter E-Mail-Server betroffen ist, sollten Sie diesen zuerst kontaktieren. Alle Server sollten aktualisiert werden, um Sie und Ihre Daten zu schützen.
- Wenn Sie Administrator eines E-Mail-Servers sind, sollten Sie sich hier die englischsprachigen Informationen ansehen, die von der Arbeitsgruppe veröffentlicht wurden, die den Fehler gefunden hat. Beachten Sie vor allem die englischsprachige Anleitung für Systemadministratoren.
Es gibt eine Übergangslösung für Thunderbird-Nutzer: Dazu können diese das Add-on Disable DHE installieren. Da dieses als Firefox-Add-on bereitgestellt wird, müssen Sie es zuerst mithilfe eines Browsers herunterladen und dann über den Add-ons-Manager von Thunderbird mithilfe des Befehls dort installieren. Das Add-on „Disable DHE“ wird im Add-ons-Manager von Thunderbird nicht angezeigt, wenn Sie dort danach suchen.
Die Verwendung dieses Add-ons ist keine Dauerlösung und ersetzt nicht das Beheben des Fehlers am Server. Sie riskieren durch die Verwendung des Add-ons durch einen Man-in-the-Middle-Angriff angegriffen zu werden, es gibt dem Server-Administrator jedoch mehr Zeit, neue Schlüsselpaare für den Server zu generieren und zu installieren.