Thunderbird 38.1.0 (и более новые версии), а также ESR-релиз 31.8.0 включает в себя улучшения, сделанные разработчиками Firefox, чтобы закрыть широко используемую уязвимость Logjam (CVE-2015-4000) во всех продуктах Mozilla.
Что это значит для меня?
Ничего, только если вы не используете почтовый сервер, всё ещё использующий очень старые ключи шифрования для SSL/TLS. Если на сервер не установлены патчи для использования более свежего набора ключей (2048-битных), ваше соединение с сервером будет прервано со следующим характерным сообщением об ошибке, которое появится в Консоли ошибок (Ctrl + Shift + J).
Что я должен делать?
- Если используемый вами почтовый сервер подвержен этой проблеме, сначала свяжитесь с вашим почтовым провайдером. Все сервера должны быть обновлены для того, чтобы защитить вас и вашу информацию.
- Если вы являетесь администратором почтового сервера, вам нужно ознакомиться с информацией, опубликованной Рабочей группой, которая обнаружила проблему, здесь. Обратите особое внимание на инструкцию для системных администраторов.
Краткосрочным обходным вариантом для тех, кто использует Thunderbird, является установка дополнения Disable DHE. Оно отображается как дополнение Firefox, и поэтому должно быть загружено на ваш компьютер с помощью браузера, а затем установлено через панель Управления дополнениями Thunderbird с помощью "Установить дополнение из файла...". Disable DHE не будет отображаться в результатах поиска панели Управлении дополнениями Thunderbird, если вы будете искать его из Thunderbird.
Использование дополнения - это не долгосрочное решение, и оно не заменяет устранение проблемы на сервере. Используя его, вы подвергаетесь риску проведения атаки "человек посередине", но это даёт передышку для того, чтобы администратор сгенерировал и установил на сервере улучшенные пары ключей.