Thunderbird と Logjam 攻撃

Thunderbird 38.1.0 (およびそれ以降) と ESR リリース 38.1.0 には、すべての Mozilla 製品に影響する Logjam の共通脆弱性 (CVE-2015-4000) を改善するための、Firefox のコア開発者によるパッチが含まれます。

これはユーザに関係がありますか？

いいえ、ご利用のメールサーバが SSL/TLS のためのとても古い暗号鍵を使用していない限り関係ありません。サーバ側に最近の鍵セット (2048 ビット長) を使用するパッチが適用されていない場合、サーバへの間の接続が失敗し、次の特有のエラーメッセージがエラーコンソールに表示されます (エラーコンソールは Ctrl + Shift + J キーで開けます)。

何をする必要がありますか？

• ご利用のメールサーバが影響を受けている場合、最初にすべきことは、メールプロバイダに問い合わせることです。すべてのメールサーバは、ユーザとユーザの情報を保護するため、システムを更新すべきです。

• あなたがメールサーバの管理者である場合は、問題を発見したワーキンググループ により発行された情報に目を通す必要があります。特に、システム管理者ガイド に注目してください。

  このページを訪れると、ご使用のブラウザが攻撃に対して脆弱でないかテストされ、脆弱である場合は通知されます。

Thunderbird ユーザには、短期的な回避方法があります。 Disable DHE アドオンをインストールしてください。これは、Firefox のアドオンとして掲載されていますが、まずブラウザでファイルをダウンロードし、Thunderbird のアドオンマネージャを開き、ファイルからアドオンをインストール... を選択してインストールしてください。Disable DHE は Thunderbird のアドオンマネージャから検索してインストールしようとしても、検索結果に現れません。

アドオンの使用は長期的な解決策にはならず、サーバの問題を修正する代替にもなりません。これを使用することは、中間者攻撃の危険性がありますが、メールの利用を優先して、サーバ管理者がより安全な鍵ペア生成してサーバにインストールするまでの息継ぎにはなるでしょう。