Login
Newsletter
Werbung

Thema: Thunderbird 68.4.1 schließt bereits ausgenutzte Sicherheitslücke

15 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von polix am Di, 14. Januar 2020 um 16:07 #

Da ubuntu 18.04 im Moment nur die ältere 68.2.2 Version anbietet, bin ich froh darüber, dass ich Thunderbird nur der Hersteller-Seite verwende. Einfach 64-Bit tz-Ordner für Linux herunterladen, entpacken, und eine Desktop-Verknüpfung mit dem Starter anlegen. Alle updates werden dann direkt verteilt und könnnen manuell oder wenn ich mich nicht irre, automatisch erfolgen.

  • 0
    Von Ghul am Di, 14. Januar 2020 um 16:18 #

    Securityfixes werden üblicherweise zu den alten Paketversionen der noch gepflegten Distributionsversionen zurückportiert.
    Der Haken ist somit nur die Zeitfrage, wie lange das dauert.

    Und speziell im Fall von Ubuntu bekommt man bei Paketen aus universe und multiverse in der Regel keine Updates mehr nach dem Release der Distribution, da die Community dafür nicht aktiv genug ist und Canonical diese Pakete selber nicht pflegt. Das schließt leider oft dann auch Sicherheitsfixes mit ein, die beim Ubuntunutzer dann nie ankommen und das installierte System dann zum anfälligen Sicherheitsloch werden lässt, wenn diese Software regelmäßig benutzt wird.

    Und dann noch eine allgemeine Ergänzung zum ersten Abschnitt.
    Da die Sicherheitslücken für gewöhnlich erst im kleinen Kreis bekannt gemacht werden und eine Nachrichtensperre verhängt wird, haben die Softwareentwickler und Distributoren Zeit rechtzeitig darauf zu reagieren, so dass der Fix oftmals schon in den aktualisierten Paketen drin ist, bevor es irgendwo auf Newsseiten überhaupt bekannt gemacht wird.
    Die Schwachstelle ist hier nur, dass Kriminelle öffentliche Mailinglisten der Entwickler aktiv mitlesen könnten und es dann trotzdem vorher wissen, bevor es die Allgemeinheit über Nachrichtenseiten erfährt.

    • 0
      Von #! am Di, 14. Januar 2020 um 16:51 #

      Dazu muss man sagen, dass sich längst nicht alle Upstreamfixes in veraltete Versionen zurückportieten lassen. Es gibt eben Fälle, für die man mehr ändern muss, als was z.B. gemäß Debian Stale als reines Sicherheitsupdate gelten könnte.

      0
      Von Andre am Mi, 15. Januar 2020 um 08:59 #

      >> Securityfixes werden üblicherweise zu den alten Paketversionen der noch gepflegten Distributionsversionen zurückportiert.
      Der Haken ist somit nur die Zeitfrage, wie lange das dauert.

      Grundsätzlich kann man sich leider nicht auf ein gutes Patchmanagement verlassen. Ich hatte vor etwa 10Jahren etwa bei Debian einen "bekannten" lighttpd bug in verbindungen mit mysql, so das sql-verbindungen irgendwann nach 1Tag verloren gingen. Das Problem war damals bereits bekannt, und es gab eine "korrektur" für den lighttpd source.

      Also habe ich ein kleines PatchFile gebaut, es bei mir getestet und es den Paketmaintainern unter verweis zur Quelle zukommen lassen. Die haben sich dann Wochen später gemeldet - das sies testen werden, und hab dann niemehr etwas davon gehört. Statt dessen wurden andere Probleme gefixed und mein kompiliertes Package immer wieder erneut überdschrieben, so das ich mein Patchfile mehrfach wieder zurückportieren musste. Das war ein mehr als ernüchterndes Erlebnis.

      Auch bei Ubuntu LTS hatte ich schon vor einigen Jahren selbst erlebt das kritische Sicherheitslücken bei FTP Servern welche über monate hinweg nicht gefixed wurden - obwohls z.B. bei Debian schon längt gefixed war. Auch hier brachte die Kommunikation mit den Maintainern wenig erfolg.

      ===================

      Auch wär ich mir nicht sicher ob in "alten" LTS-Distributionen welche eventuell ältere Major-Releases einer Applikation/Desktops einsetzen SecurityFixes vom der aktuellen Major-Release gebackportet werden - und wenn ja, in welchem Umfang und in welcher Qualität. Das ist erstens nicht ganz trivial via Copy/Paste machbar, zweitens muss das jede Distro selbst machen, und meine o.g. Beispiele zeigen das die Praxis sicher nicht bei 100% liegt.

    0
    Von nurso am Di, 14. Januar 2020 um 17:52 #

    Es gibt einige Distros, unter denen laufen die neuen Firefox- und Thunderbird-Versionen von mozilla.org bereits nicht mehr, weil wenigstens Glibc 2.17 benötigt wird. CentOS6 z.B. oder auch Debian Wheezy oder Slackware 14.0.

    0
    Von pointer am Di, 14. Januar 2020 um 18:14 #

    Alle updates werden dann direkt verteilt und könnnen manuell oder wenn ich mich nicht irre, automatisch erfolgen.

    Man kann nach Updates suchen und diese automatisch installieren lassen. Letzteres geht aber nur, wenn TB in einem Verzeichnis installiert ist, das keine root-Rechte benötigt. In diesem Fall muss man das Update manuell vornehmen, ist aber auch keine große Sache.

    0
    Von Caramba am Mi, 15. Januar 2020 um 07:28 #

    Thunderbird 68.4.1 für Ubuntu 18.04 (LTS):
    sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa
    sudo apt update

Pro-Linux
Traut euch!
Neue Nachrichten
Werbung