Schwerer Bug in KMail – Test für die Distributionen

In KMail klaffte seit Jahren eine schwere Lücke. Wie Pro-Linux heute berichtete führte die Lücke mit der katalogisierten Bezeichnung CVE-2017-9604 zu einer unbeabsichtigten unverschlüsselten Übertragung. Mit „Send later“ markierte Nachrichten übersandte KMail unverschlüsselt, dem Anwender suggerierte es jedoch, diese würden mittels OpenPGP verschlüsselt. Aufgrund der sensiblen Platzierung im Verschlüsselungs-Kontext ein heftiger Fauxpas – aber so etwas kann passieren. Software ist nie fehlerfrei!

Nun ist KMail 4 bereits abgekündigt und die Lücke bisher nur in der aktuellen KMail 5-Version, enthalten in den Applications 17.04.2, geschlossen. Viele stabile Distributionen liefern KMail jedoch in veralteten Versionen, bis zurück zu der Version aus KDE SC 4.11 und älter aus. Diese Sicherheitslücke ist daher für viele dünn besetzten Communityprojekte mit riesigen Versprechungen ein Belastungstest. Besteht eine Distribution ihn mittelfristig nicht, kann man sie eigentlich aus dem Kanon streichen.

Die Lücke ist vor allem deshalb interessant, weil sie nicht den Linux-Kern oder zentrale Bibliotheken betrifft, aber gleichwohl gravierende Auswirkungen für die Anwender hat. Die Distributionen müssen nun beweisen, dass ihr Supportversprechen sich nicht nur auf den minimalen Betriebssystemkern erstreckt.

Unter Beobachtung stehen nur so genannte Enterprise bzw. LTS Distributionen. Rolling Release-Distributionen erhalten den Patch automatisch mit der aktuellen KDE Applications-Version und Distributionen mit kurzen Supportzeiträumen dürften derart veraltete KMail Versionen nicht mehr einsetzen.

Aktueller Stand 27.06.16:

Die Meldung liegt nur wenige Tage zurück, der Stand sollte daher nicht überraschen.

Update: Stand 02.07.16

In den vergangenen Tagen hat sich kaum etwas getan. Lediglich openSUSE hat seine LTS-Variante gepatcht. Mageia hat zumindest für die aktuelle Version 6 den Fehler behoben und die Diskussion zur Lösung für die Version 5 in einen eigenen Bugreport ausgelagert.

Update: Stand 08.07.16

In den vergangenen Tagen hat sich kaum etwas getan. Debian hat beschlossen, dass die Lücke nicht schwer genug ist um ein separates Sicherheitsupdate zu rechtfertigen (da fehlen einem die Worte) und bei den anderen Distributionen hat sich im Vergleich zur Vorwoche nichts getan.

Der weitere Verlauf wird beobachtet und hier dokumentiert.

Insgesamt lassen sich aber bereits einige Schlussfolgerungen ziehen. Fehler in den Desktopoberflächen haben keine große Priorität für die Projekte, selbst wenn sie in kritischen Bereichen wie der Verschlüsselungsinfrastruktur sind. Ausgenommen ist hier openSUSE das einmal mehr unter Beweis stellt, dass es ein besonderes Augenmerk auf KDE hat. Die Fehlerbehebung seitens des KDE Projekts erfolgte am 02.06.17, seit Mitte Juni ist der Fehler in allen großen CVE-Datenbanken aber außer openSUSE und Mageia hat noch keine große Distribution eine Fehlerbehebung ausgerollt. Wenn man bedenkt, dass die Open Source Gemeinschaft immer den monatlichen Patchzyklus von Micrsoft bemängelt ist das keine Glanzleistung. Die Entscheidung von Debian zeigt zudem eine Ignoranz, die man sonst immer den Produzenten proprietärer Software vorwirft.


Bilder:

Einleitungs- und Beitragsbild von Tumisu via pixabay

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...