パスワードを忘れた? アカウント作成
15296520 story
暗号

Thunderbird 78.8.1~78.10.1、インポートしたOpenPGP秘密鍵を暗号化せずに保存していた 20

ストーリー by nagazou
これは 部門より
headless 曰く、

Thunderbird 78.8.1~78.10.1では、インポートしたOpenPGP秘密鍵を暗号化せずにローカルディスクに保存するという脆弱性(CVE-2021-29956)があったそうだ(Bug 1710290The Registerの記事Mozilla Foundation Security Advisory 2021-22)。

この脆弱性によりインポートされた鍵がマスターパスワードで保護されないため、マスターパスワードを入力しなくてもメッセージが復号されると4月からメーリングリストで報告されていた。

脆弱性を追加し、修正したThunderbirdメインテナーのKai Engert氏がThe Registerに語ったところによれば、元はインポート時にローカルディスクへ保存してから暗号化していたものを、暗号化してから保存するよう変更してしまったのが原因だという。Engert氏とレビューアーは暗号化された状態で鍵が保存されると思い込んでいたが、実際にはそうではなかったとのこと。Engert氏はRNPソフトウェアのエラーにより暗号化が保存時に反映されないと説明しているそうだ。

この脆弱性はThunderbird 78.10.2で修正されており、暗号化なしで保存された鍵が見つかったら暗号化するとのことだ。

  • by Anonymous Coward on 2021年05月28日 17時58分 (#4040358)

    HDD暗号化してそう
    まあ、他のプログラムから読まれる恐れはあるけど

    ここに返信
    • by Anonymous Coward

      PGP発行してThunderbird使用なヤツがそもそもほとんど居ないとか

  • by Anonymous Coward on 2021年05月28日 20時32分 (#4040451)

    全部同じ
    一文字たりとも変えないことあるんだ

    ここに返信
  • by Anonymous Coward on 2021年05月28日 21時05分 (#4040470)

    OSSなら安心(爆笑)

    ここに返信
    • by Anonymous Coward

      大切なものを、信頼(笑)のみで他人に預けるとか
      危機管理がなってないよなw

      • by Anonymous Coward

        メーラーくらい自分で作れないならEメール使わない方がいいと思うわ

    • by Anonymous Coward

      邪悪なM$のOSSなら安心(爆笑)

  • by Anonymous Coward on 2021年05月29日 0時35分 (#4040566)

    設計と違うのだから欠陥だろ

    ここに返信
    • by Anonymous Coward

      欠陥だろうが脆弱性があることには変わらない

    • by Anonymous Coward

      なぜか欠陥(バグ)と仕様と脆弱性が排他だと思い込んでる人間が一定数いるよな

      まあ確かに一昔前なら脆弱性とは呼ばないようなバグかもしれないが、CVEが発行されている以上は脆弱性に繋がるセキュリティバグだよ

      • by Anonymous Coward

        欠陥と脆弱性とでは瑕疵担保責任の考えが全く違う。
        これらを同列に扱うようでは社会的責任を果たすことは到底無理というもの。

        • by Anonymous Coward

          おじいちゃん、今は民法改正されて瑕疵担保責任って言わないんですよ。

          • by Anonymous Coward

            契約不適合責任だろ。周知度が低いから改正前の表現を使ったまで。ただ瑕疵にたいして本質的意味は変わっていない。
            反論できなくなると言葉尻を取ろうとする典型的なアレだな。

        • by Anonymous Coward

          いきなり瑕疵担保責任とか言い出して一体どうした?
          それ、どこの弁護士が言ってるの?
          まさかオレオレ理論?

          • by Anonymous Coward

            法律や判例くらい勉強しましょうね

            • by Anonymous Coward

              やっぱりオレオレ理論だから判例ひとつ出せないんですね。デマ乙

        • by Anonymous Coward

          これは欠陥と脆弱性を同列に扱おうとしている #4040566 への批判のつもりだったんだろうか?
          #4040754 の援護射撃をしようとして墓穴掘り掛かってるように見える。

          確かに #4040566 の言う事はおかしいと思う。
          しかし、瑕疵担保責任の観点からそれを批判するのは無理筋だと思う。
          バグもセキュリティバグも等しく瑕疵とみなして区別しないだろうから。

    • by Anonymous Coward

      仕様の脆弱性もあれば、実装の脆弱性もあるし、運用の脆弱性もある。
      開発におけるどのレイヤで発生したかに関わらず、脆弱性は脆弱性だろ。

      その挙動が仕様通りか否かの話ではどのレイヤで起きたかは重要だけども、
      たとえ仕様であっても脆弱ならそれは脆弱性。

  • by Anonymous Coward on 2021年05月29日 7時59分 (#4040632)

    元はインポート時にローカルディスクへ保存してから暗号化していたものを、暗号化してから保存するよう変更してしまったのが原因だという。

    本文はこの訳でおかしいと思わなかったの?

    ここに返信
  • by Anonymous Coward on 2021年05月30日 8時38分 (#4041058)

    普通ならせいぜい難読化止まりよなぁと思ってたが
    そういやマスターパスワードで管理してるなら真面目に暗号化も出来たなそういえば。
    Mozilla周りは、Androidのfirefoxでマスターパスワード設定してたら
    記録済みパスワードを全部抹消するアプデを正式リリースしちゃう位だから、
    マスターパスワードなんてあるにはあるけど誰もメンテしないトマソンみたいな扱いなのかと思ってたよ。
    まぁ後からこんな話になる程度には扱いの悪い機能ではあったということなのだろうけど。

    ここに返信
typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...