Thunderbird e Logjam

O Thunderbird 38.1.0 (e mais recentes) e o lançamento 31.8.0 da ESR inclui melhorias conseguidas pelos programadores principais da Firefox para corrigir a vulnerabilidade comum (CVE-2015-4000) do Logjam em todos os produtos da Mozilla.

O que é que isto significa para mim?

Nada, a não ser que o seu servidor de e-mail ainda utilize chaves de cifragem antigas para o SSL/TLS. Se o servidor não foi corrigido para utilizar um conjunto de chaves mais recente (2048 bits), a sua ligação para o servidor irá falhar com a seguinte mensagem de erro distinta aparecendo na consola de Erro (Ctrl + Shift + J).

O que é que devo fazer?

• Se um servidor de e-mail que você utiliza estiver infetado, em primeiro lugar, contacte o seu fornecedor de e-mail. Todos os servidores deverão ser atualizados para protegê-lo e à sua informação.

• Se você é o administrador do servidor de e-mail, necessita ver a informação publicada pelo Grupo de Trabalho que detetou o problema aqui (em inglês). Consulte principalmente o the guia sysadmin (em inglês).

Existe uma solução alternativa a curto-prazo para aqueles que utilizam o Thunderbird, instalando o extra Disable DHE. Este extra está listado como sendo do Firefox, e deverá ser descarregado para o seu computador utilizando um navegador, depois instalado com o Gestor de extras do Thunderbird utilizando "Instalar extra a partir do ficheiro...". O 'Disable DHE' não irá aparecer no Gestor de extras do Thunderbird se você o pesquisar a partir do Thunderbird.

A utilização do extra não é uma solução a longo prazo, e não substitui uma correção ao servidor. Utilizando-o, está vulnerável a um ataque 'man-in-the-middle' (o homem do meio), mas oferece algum tempo para o administrador do servidor gerar e instalar melhores pares de chaves no servidor.