In KMail klaffte seit Jahren eine schwere Lücke. Wie Pro-Linux heute berichtete führte die Lücke mit der katalogisierten Bezeichnung CVE-2017-9604 zu einer unbeabsichtigten unverschlüsselten Übertragung. Mit „Send later“ markierte Nachrichten übersandte KMail unverschlüsselt, dem Anwender suggerierte es jedoch, diese würden mittels OpenPGP verschlüsselt. Aufgrund der sensiblen Platzierung im Verschlüsselungs-Kontext ein heftiger Fauxpas – aber so etwas kann passieren. Software ist nie fehlerfrei!

Nun ist KMail 4 bereits abgekündigt und die Lücke bisher nur in der aktuellen KMail 5-Version, enthalten in den Applications 17.04.2, geschlossen. Viele stabile Distributionen liefern KMail jedoch in veralteten Versionen, bis zurück zu der Version aus KDE SC 4.11 und älter aus. Diese Sicherheitslücke ist daher für viele dünn besetzten Communityprojekte mit riesigen Versprechungen ein Belastungstest. Besteht eine Distribution ihn mittelfristig nicht, kann man sie eigentlich aus dem Kanon streichen.

Die Lücke ist vor allem deshalb interessant, weil sie nicht den Linux-Kern oder zentrale Bibliotheken betrifft, aber gleichwohl gravierende Auswirkungen für die Anwender hat. Die Distributionen müssen nun beweisen, dass ihr Supportversprechen sich nicht nur auf den minimalen Betriebssystemkern erstreckt.

Unter Beobachtung stehen nur so genannte Enterprise bzw. LTS Distributionen. Rolling Release-Distributionen erhalten den Patch automatisch mit der aktuellen KDE Applications-Version und Distributionen mit kurzen Supportzeiträumen dürften derart veraltete KMail Versionen nicht mehr einsetzen.

Aktueller Stand 27.06.16:

Die Meldung liegt nur wenige Tage zurück, der Stand sollte daher nicht überraschen.

Update: Stand 02.07.16

In den vergangenen Tagen hat sich kaum etwas getan. Lediglich openSUSE hat seine LTS-Variante gepatcht. Mageia hat zumindest für die aktuelle Version 6 den Fehler behoben und die Diskussion zur Lösung für die Version 5 in einen eigenen Bugreport ausgelagert.

Update: Stand 08.07.16

In den vergangenen Tagen hat sich kaum etwas getan. Debian hat beschlossen, dass die Lücke nicht schwer genug ist um ein separates Sicherheitsupdate zu rechtfertigen (da fehlen einem die Worte) und bei den anderen Distributionen hat sich im Vergleich zur Vorwoche nichts getan.

Der weitere Verlauf wird beobachtet und hier dokumentiert.

Insgesamt lassen sich aber bereits einige Schlussfolgerungen ziehen. Fehler in den Desktopoberflächen haben keine große Priorität für die Projekte, selbst wenn sie in kritischen Bereichen wie der Verschlüsselungsinfrastruktur sind. Ausgenommen ist hier openSUSE das einmal mehr unter Beweis stellt, dass es ein besonderes Augenmerk auf KDE hat. Die Fehlerbehebung seitens des KDE Projekts erfolgte am 02.06.17, seit Mitte Juni ist der Fehler in allen großen CVE-Datenbanken aber außer openSUSE und Mageia hat noch keine große Distribution eine Fehlerbehebung ausgerollt. Wenn man bedenkt, dass die Open Source Gemeinschaft immer den monatlichen Patchzyklus von Micrsoft bemängelt ist das keine Glanzleistung. Die Entscheidung von Debian zeigt zudem eine Ignoranz, die man sonst immer den Produzenten proprietärer Software vorwirft.


Bilder:

Einleitungs- und Beitragsbild von Tumisu via pixabay

Gerrit
Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

Schreiben Sie eine Ergänzung

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Kommentare werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihre Ergänzung ein!
Bitte geben Sie hier Ihren Namen ein