Thunderbird 和 Logjam 漏洞

Thunderbird 38.1.0(以及更新版本)和 ESR 31.8.0 版本中,包括了 Firefox 核心开发人员在所有 Mozilla 产品中为修补 Logjam 常见漏洞(CVE-2015-4000)所做的改进。

这对我意味着什么?

没有,除非您的邮件服务器仍然为 SSL/TLS 使用非常旧的加密密钥。如果服务器尚未修补以使用一组更新的密钥(2048 位),则与服务器的连接将失败,并在错误控制台(Ctrl + Shift + J)中显示以下独特的错误消息。

LogJam in the error console

我需要做什么?

  • 如果您使用的邮件服务器受到影响,首先请联系您的邮件提供商。所有服务器都应该更新,以保护您和您的信息。
  • 如果您是邮件服务器管理员,则需要在 这里 查看工作组发布的检测问题的信息,特别注意 系统管理员指南
当访问该页面时,您的浏览器将被测试以查看是否容易受到攻击,并且您将得到相应的通知。

有一个短期使用 Thunderbird 的解决方法,通过安装附加组件 Disable DHE。这是 Firefox 的附加组件,因此必须使用浏览器下载到您的计算机,然后在 Thunderbird 附加组件管理器中使用 "从文件安装附加组件..." 安装。禁用 DHE 后,如果在 Thunderbird 搜索,不会出现在附加组件管理器中。

使用附加组件不是长期解决方案,也不能改善服务器。使用它有中间人攻击的风险,但它给服务器管理员一点缓冲时间,用于在服务器上生成和安装更好的密钥对。

// 这些人帮助撰写了这篇文章:kaneren 你也可以帮忙 - 来看看该怎么做

这篇文章对您有帮助吗? 请稍候...

成为 Mozilla 技术支持的志愿者