Thunderbird i Logjam

Thunderbird 38.1.0 i nowsze wersje, a także wydanie ESR 31.8.0 zawiera udoskonalenia stworzone przez deweloperów Firefoksa w celu załatania we wszystkich produktach Mozilli luki w zabezpieczeniach Logjam (CVE-2015-4000).

Co to oznacza dla użytkowników?

Nic, chyba że serwer pocztowy użytkownika nadal wykorzystuje bardzo stare klucze szyfrujące SSL/TLS. Jeśli na serwerze nie został zaimplementowany nowszy zestaw kluczy – 2048 bitowy, połączenie z serwerem nie powiedzie się i w Konsoli błędów zostanie wygenerowany poniższy komunikat. Konsolę błędów można wyświetlić, używając skrótu klawiszowego Ctrl + Shift + J.

Co wówczas należy zrobić?

• Jeśli ten problem dotyczy użytkownika serwera pocztowego, w pierwszej kolejności, należy skontaktować się z dostawcą usługi pocztowej. Wszystkie serwery powinny być aktualizowane, aby chronić użytkowników i ich dane.

• Administratorzy serwerów powinni zapoznać się z informacjami zawartymi na tej witrynie, a w szczególności z poradnikiem przeznaczonym dla administratorów.

By tymczasowo obejść ten problem, użytkownicy Thunderbirda mogą zainstalować dodatek Disable DHE. Dodatek ten jest przeznaczony dla Firefoksa i w trakcie wyszukiwania go z poziomu Menedżera dodatków Thunderbirda jest niewidoczny. Aby zainstalować go w Thunderbirdzie, należy pobrać go z witryny dodatków dla Firefoksa i zainstalować w Thunderbirdzie z poziomu Menedżera dodatków, używając funkcji Zainstaluj dodatek z pliku….

Użycie tego dodatku nie może być rozwiązaniem długoterminowy i nie jest substytutem dla naprawy serwera. Korzystając z niego, użytkownik jest narażony na atak typu man-in-the-middle, ale daje czas administratorowi serwera pocztowego na wygenerowanie i zainstalowanie na serwerze lepszych par kluczy szyfrujących.