Login
Newsletter
Werbung

Di, 27. Juni 2017, 11:49

Software::Büro

Fehler in Verschlüsselungsfunktion von KMail geschlossen

KMail versandte über vier Jahre lang terminierte signierte und verschlüsselte Mails im Klartext.

Send Later

KDE

Send Later

KDEs Mail-Client KMail hat über den Zeitraum von vier Jahren ausgehende signierte und verschlüsselte Mails ohne Warnung im Klartext versendet, wenn diese mit der Funktion »Send Later« terminiert waren. Diese Funktion war mit dem im Oktober 2013 veröffentlichten KMail 4.11 eingeführt worden. Der Fehler, der kürzlich entdeckt und zeitnah behoben wurde, lag in der Inkompatibilität dieser Funktion mit der OpenPGP-Implementation des Mail-Clients. Betroffen von der als CVE-2017-9604 katalogisierten Sicherheitslücke sind die Versionen 4.11 bis einschließlich dem in den KDE Applications 17.04.1 enthaltenen kmail 5.5.1.

KMail gab allen Anlass anzunehmen, solche für späteres Senden vorgesehenen Mails würden, wie vorgesehen, signiert und verschlüsselt verteilt. Beim späteren Aussenden wurde jedoch OpenPGP umgangen und die Mails gingen im Klartext an den Empfänger. Somit hatte der Absender keinen Grund anzunehmen, hier sei etwas fehlerhaft. In der Dokumentation von KMail heißt es allerdings, der Absender möge die korrekte Funktion seiner Konfiguration testen, bevor sie produktiv eingesetzt wird. Warum der Fehler bei den Empfängern nicht früher auffiel, ist dagegen unklar. Unklar ist auch, wie häufig die Funktion des späteren Sendens genutzt wird.

Die am 8. Juni 2017 veröffentlichten KDE Applications 17.04.2 enthalten eine korrigierte Version von KMail. Somit wird im gerade veröffentlichten Debian 9 »Stretch« mit Version 16.04.3-3 und kmail 5.2.3 der Fehler noch ausgeliefert. Anwender, die KMail mit der Funktion, den Versand von Mails zu terminieren, einsetzen, sollten sich um die aktuelle Version bemühen. Verlangsamt durch sechs Monate Freeze zur Fertigstellung von Debian 9 hat auch Debian Unstable noch keine aktuelle Version.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung