In KMail klaffte seit Jahren eine schwere Lücke. Wie Pro-Linux heute berichtete führte die Lücke mit der katalogisierten Bezeichnung CVE-2017-9604 zu einer unbeabsichtigten unverschlüsselten Übertragung. Mit „Send later“ markierte Nachrichten übersandte KMail unverschlüsselt, dem Anwender suggerierte es jedoch, diese würden mittels OpenPGP verschlüsselt. Aufgrund der sensiblen Platzierung im Verschlüsselungs-Kontext ein heftiger Fauxpas – aber so etwas kann passieren. Software ist nie fehlerfrei!
Nun ist KMail 4 bereits abgekündigt und die Lücke bisher nur in der aktuellen KMail 5-Version, enthalten in den Applications 17.04.2, geschlossen. Viele stabile Distributionen liefern KMail jedoch in veralteten Versionen, bis zurück zu der Version aus KDE SC 4.11 und älter aus. Diese Sicherheitslücke ist daher für viele dünn besetzten Communityprojekte mit riesigen Versprechungen ein Belastungstest. Besteht eine Distribution ihn mittelfristig nicht, kann man sie eigentlich aus dem Kanon streichen.
Die Lücke ist vor allem deshalb interessant, weil sie nicht den Linux-Kern oder zentrale Bibliotheken betrifft, aber gleichwohl gravierende Auswirkungen für die Anwender hat. Die Distributionen müssen nun beweisen, dass ihr Supportversprechen sich nicht nur auf den minimalen Betriebssystemkern erstreckt.
Unter Beobachtung stehen nur so genannte Enterprise bzw. LTS Distributionen. Rolling Release-Distributionen erhalten den Patch automatisch mit der aktuellen KDE Applications-Version und Distributionen mit kurzen Supportzeiträumen dürften derart veraltete KMail Versionen nicht mehr einsetzen.
Aktueller Stand 27.06.16:
Die Meldung liegt nur wenige Tage zurück, der Stand sollte daher nicht überraschen.
- Debian: Nicht behoben in Stretch, Jessie und Wheezy (CVE-2017-9604 im Debian Tracker System)
- Kubuntu: In Arbeit in Trusty, Xenial, Yakkety und Zesty (CVE-2017-9604 im Ubuntu CVE Tracker)
- Mageia: Behoben in 6, nicht behoben in 5 (Bug im Mageia Bugzilla)
- openSUSE: Patch in Vorbereitung (Bug im openSUSE Bugzilla)
- RedHat/CentOS: Nicht behoben in 6 und 7 (CVE-2017-9604 in der RH CVE Datenbank)
Update: Stand 02.07.16
In den vergangenen Tagen hat sich kaum etwas getan. Lediglich openSUSE hat seine LTS-Variante gepatcht. Mageia hat zumindest für die aktuelle Version 6 den Fehler behoben und die Diskussion zur Lösung für die Version 5 in einen eigenen Bugreport ausgelagert.
- Debian: Nicht behoben in Stretch, Jessie und Wheezy (CVE-2017-9604 im Debian Tracker System)
- Kubuntu: In Arbeit in Trusty, Xenial, Yakkety und Zesty (CVE-2017-9604 im Ubuntu CVE Tracker)
- Mageia: Behoben in 6 (Bug im Mageia Bugzilla), nicht behoben in 5 (Bug in Mageia Bugzilla)
- openSUSE: Behoben (Bug im openSUSE Bugzilla)
- RedHat/CentOS: Nicht behoben in 6 und 7 (CVE-2017-9604 in der RH CVE Datenbank)
Update: Stand 08.07.16
In den vergangenen Tagen hat sich kaum etwas getan. Debian hat beschlossen, dass die Lücke nicht schwer genug ist um ein separates Sicherheitsupdate zu rechtfertigen (da fehlen einem die Worte) und bei den anderen Distributionen hat sich im Vergleich zur Vorwoche nichts getan.
- Debian: Wird nicht behoben in Stretch, Jessie und Wheezy (CVE-2017-9604 im Debian Tracker System)
- Kubuntu: In Arbeit in Trusty, Xenial, Yakkety und Zesty (CVE-2017-9604 im Ubuntu CVE Tracker)
- Mageia: Behoben in 6 (Bug im Mageia Bugzilla), nicht behoben in 5 (Bug in Mageia Bugzilla)
- openSUSE: Behoben (Bug im openSUSE Bugzilla)
- RedHat/CentOS: Nicht behoben in 6 und 7 (CVE-2017-9604 in der RH CVE Datenbank)
Der weitere Verlauf wird beobachtet und hier dokumentiert.
Insgesamt lassen sich aber bereits einige Schlussfolgerungen ziehen. Fehler in den Desktopoberflächen haben keine große Priorität für die Projekte, selbst wenn sie in kritischen Bereichen wie der Verschlüsselungsinfrastruktur sind. Ausgenommen ist hier openSUSE das einmal mehr unter Beweis stellt, dass es ein besonderes Augenmerk auf KDE hat. Die Fehlerbehebung seitens des KDE Projekts erfolgte am 02.06.17, seit Mitte Juni ist der Fehler in allen großen CVE-Datenbanken aber außer openSUSE und Mageia hat noch keine große Distribution eine Fehlerbehebung ausgerollt. Wenn man bedenkt, dass die Open Source Gemeinschaft immer den monatlichen Patchzyklus von Micrsoft bemängelt ist das keine Glanzleistung. Die Entscheidung von Debian zeigt zudem eine Ignoranz, die man sonst immer den Produzenten proprietärer Software vorwirft.
Bilder: