Thunderbird 38.1.0 (en nieuwer) en de ESR-versie 31.8.0 bevatten verbeteringen die door de Firefox-hoofdontwikkelaars zijn doorgevoerd om de bekende Logjam-kwetsbaarheid (CVE-2015-4000) in alle Mozilla-producten te verhelpen.
Wat betekent dit voor mij?
Niets, tenzij uw mailserver nog sterk verouderde cijfersleutels voor SSL/TLS gebruikt. Als de server niet is bijgewerkt voor het gebruik van een recente groep sleutels (2048 bits), zal uw verbinding met de server mislukken, waarbij de volgende karakteristieke foutmelding in de Foutconsole verschijnt (Ctrl + Shift + J).
Wat moet ik doen?
- Als dit probleem van toepassing is op een mailserver die u gebruikt, neem dan eerst contact op met uw e-mailprovider. Om u en uw gegevens te beschermen dienen alle servers te worden bijgewerkt.
- Als u de beheerder van de mailserver bent, dient u hier de informatie te bekijken die is gepubliceerd door de werkgroep die het probleem heeft ontdekt. Let met name op de handleiding voor systeembeheerders.
Er is een kortetermijnoplossing voor mensen die Thunderbird gebruiken door de add-on Disable DHE te installeren. Deze add-on wordt vermeld als een add-on voor Firefox, en moet daarom via een browser naar uw computer worden gedownload, en daarna worden geïnstalleerd via de add-onbeheerder van Thunderbird via ‘Add-on installeren via bestand…’. Disable DHE verschijnt niet in de add-onbeheerder van Thunderbird als u ernaar zoekt in Thunderbird.
Het gebruik van de add-on is geen langetermijnoplossing, en geen vervanging voor het in orde maken van de server. Door de add-on te gebruiken loopt u het risico op een man-in-the-middle-aanval, maar het biedt een adempauze voor de serverbeheerder om betere sleutelparen op de server te genereren en te installeren.
