Thunderbird y Logjam

Thunderbird 38.1.0 (y siguientes) y la versión ESR 31.8.0 de Thunderbird incluyen mejoras hechas por los desarrolladores del motor de Firefox para parchear la vulnerabilidad conocida como "Logjam" (CVE-2015-4000) en todos los productos de Mozilla.

¿Qué significa esto para mí?

Nada, a menos que tu servidor de correo electrónico aún use claves de cifrado muy antiguas para SSL/TLS. Si el servidor no ha sido actualizado para usar un conjunto de claves más recientes (de 2048 bits), tu conexión al servidor fallará con el siguiente mensaje de error distintivo, que aparecerá en la consola de errores (Ctrl + Mayús + J).

¿Qué necesito hacer?

• Si un servidor de correo electrónico que usas está afectado, primero que nada, contacta con tu proveedor de correo elecrónico. Todos los servidores deberían ser actualizados para protegerte a ti y a tu información.

• Si eres el administrador del servidor de correo electrónico, necesitas ver la información publicada por el grupo de trabajo que detectó el problema, aquí (en inglés). Presta atención especialmente a la guía para administradores de sistemas.

Hay una solución de corto plazo para aquellos que estén usando Thunderbird, la cual implica instalar el complemento Disable DHE. Este complemento está clasificado como complemento de Firefox; por lo tanto, debe ser descargado a tu equipo usando un navegador web y luego instalado desde el administrador de complementos de Thunderbird usando la opción "Instalar complemento desde archivo…". "Disable DHE" no aparecerá en el Administrador de complementos de Thunderbird si lo buscas desde dentro del propio programa.

El uso de este complemento no es una solución definitiva ni tampoco es un sustituto para corregir el servidor. Usarlo implica estar expuesto al riesgo de un ataque MITM (man-in-the-middle, intruso interpuesto), pero te da algo de tiempo para que el administrador del servidor genere e instale mejores pares de claves en el mismo.