Thunderbird et Logjam

Thunderbird 38.1.0 (et plus récent) et l'ESR release 31.8.0 comprend les améliorations effectuées par les développeurs du noyau de Firefox pour corriger la vulnérabilité commune Logjam (2015-4000 CVE-) dans tous les produits de Mozilla.

Qu'est-ce que cela signifie pour moi?

Rien, sauf si votre serveur de messagerie utilise encore de très vieilles clés de chiffrement pour SSL / TLS. Si le serveur n'a pas été corrigé pour utiliser un ensemble plus récent de clés (2048 bits), votre connexion au serveur échoue avec le message suivant distinctif d'erreur apparaissant dans la console d'erreur ({Ctrl + Maj + touche J}).

Que dois-je faire?

• Si un serveur de messagerie que vous utilisez est affecté, en premier lieu contacter votre fournisseur de messagerie. Tous les serveurs doivent être mis à jour pour protéger vos informations.

• Si vous êtes l'administrateur du serveur de messagerie, vous devez lire l'infomation qui est publiée par le Groupe de travail qui a détecté le problème ici. Notez en particulier le guide de sysadmin.

Il existe une solution à court terme pour ceux qui utilisent Thunderbird, par l'installation du module complémentaire Désactiver DHE. Elle est répertoriée comme une extension pour Firefox, et doit donc être téléchargée sur votre ordinateur en utilisant un navigateur, puis installée avec le gestionnaire de modules complémentaires en utilisant Thunderbird "Installer un modules depuis un fichier ...". Désactiver DHE n'apparaîtra pas dans le gestionnaire de modules complémentaires si vous recherchez à partir de Thunderbird.

L'utilisation de l'extension n'est pas une solution à long terme, et ne constitue pas un substitut pour la mise à jour du serveur. En l'utilisant, vous donnez du temps à l'administrateur du serveur pour générer et installer de meilleures clés de chiffrement sur le serveur.