Thunderbird 78.8.1～78.10.1、インポートしたOpenPGP秘密鍵を暗号化せずに保存していた

Thunderbird 78.8.1～78.10.1、インポートしたOpenPGP秘密鍵を暗号化せずに保存していた 20

ストーリー by nagazou 2021年05月28日 17時03分
これは部門より

headless 曰く、

Thunderbird 78.8.1～78.10.1では、インポートしたOpenPGP秘密鍵を暗号化せずにローカルディスクに保存するという脆弱性(CVE-2021-29956)があったそうだ(Bug 1710290、 The Registerの記事、 Mozilla Foundation Security Advisory 2021-22)。

この脆弱性によりインポートされた鍵がマスターパスワードで保護されないため、マスターパスワードを入力しなくてもメッセージが復号されると4月からメーリングリストで報告されていた。

脆弱性を追加し、修正したThunderbirdメインテナーのKai Engert氏がThe Registerに語ったところによれば、元はインポート時にローカルディスクへ保存してから暗号化していたものを、暗号化してから保存するよう変更してしまったのが原因だという。Engert氏とレビューアーは暗号化された状態で鍵が保存されると思い込んでいたが、実際にはそうではなかったとのこと。Engert氏はRNPソフトウェアのエラーにより暗号化が保存時に反映されないと説明しているそうだ。

この脆弱性はThunderbird 78.10.2で修正されており、暗号化なしで保存された鍵が見つかったら暗号化するとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索20コメント Log In/Create an Account

気にする人は (スコア:0)

by Anonymous Coward on 2021年05月28日 17時58分 (#4040358)

HDD暗号化してそう
まあ、他のプログラムから読まれる恐れはあるけど
- Re: (スコア:0)
  
  by Anonymous Coward
  
  PGP発行してThunderbird使用なヤツがそもそもほとんど居ないとか
タレコミとの違いがわからない (スコア:0)

by Anonymous Coward on 2021年05月28日 20時32分 (#4040451)

全部同じ
一文字たりとも変えないことあるんだ
邪悪なM$の製品は危険(笑) (スコア:0)

by Anonymous Coward on 2021年05月28日 21時05分 (#4040470)

OSSなら安心(爆笑)
- Re: (スコア:0)
  
  by Anonymous Coward
  
  大切なものを、信頼(笑)のみで他人に預けるとか
  危機管理がなってないよなw
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    メーラーくらい自分で作れないならEメール使わない方がいいと思うわ
- Re: (スコア:0)
  
  by Anonymous Coward
  
  邪悪なM$のOSSなら安心（爆笑）
それは脆弱性ではない (スコア:0)

by Anonymous Coward on 2021年05月29日 0時35分 (#4040566)

設計と違うのだから欠陥だろ
- Re: (スコア:0)
  
  by Anonymous Coward
  
  欠陥だろうが脆弱性があることには変わらない
- Re: (スコア:0)
  
  by Anonymous Coward
  
  なぜか欠陥（バグ）と仕様と脆弱性が排他だと思い込んでる人間が一定数いるよな
  まあ確かに一昔前なら脆弱性とは呼ばないようなバグかもしれないが、CVEが発行されている以上は脆弱性に繋がるセキュリティバグだよ
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    欠陥と脆弱性とでは瑕疵担保責任の考えが全く違う。
    これらを同列に扱うようでは社会的責任を果たすことは到底無理というもの。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      おじいちゃん、今は民法改正されて瑕疵担保責任って言わないんですよ。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        契約不適合責任だろ。周知度が低いから改正前の表現を使ったまで。ただ瑕疵にたいして本質的意味は変わっていない。
        反論できなくなると言葉尻を取ろうとする典型的なアレだな。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      いきなり瑕疵担保責任とか言い出して一体どうした？
      それ、どこの弁護士が言ってるの？
      まさかオレオレ理論？
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        法律や判例くらい勉強しましょうね
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        やっぱりオレオレ理論だから判例ひとつ出せないんですね。デマ乙
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      これは欠陥と脆弱性を同列に扱おうとしている #4040566 への批判のつもりだったんだろうか？
      #4040754 の援護射撃をしようとして墓穴掘り掛かってるように見える。
      確かに #4040566 の言う事はおかしいと思う。
      しかし、瑕疵担保責任の観点からそれを批判するのは無理筋だと思う。
      バグもセキュリティバグも等しく瑕疵とみなして区別しないだろうから。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  仕様の脆弱性もあれば、実装の脆弱性もあるし、運用の脆弱性もある。
  開発におけるどのレイヤで発生したかに関わらず、脆弱性は脆弱性だろ。
  その挙動が仕様通りか否かの話ではどのレイヤで起きたかは重要だけども、
  たとえ仕様であっても脆弱ならそれは脆弱性。
で、いつ保存するんだい (スコア:0)

by Anonymous Coward on 2021年05月29日 7時59分 (#4040632)

元はインポート時にローカルディスクへ保存してから暗号化していたものを、暗号化してから保存するよう変更してしまったのが原因だという。
本文はこの訳でおかしいと思わなかったの？
マスターパスワード管理下の話 (スコア:0)

by Anonymous Coward on 2021年05月30日 8時38分 (#4041058)

普通ならせいぜい難読化止まりよなぁと思ってたが
そういやマスターパスワードで管理してるなら真面目に暗号化も出来たなそういえば。
Mozilla周りは、Androidのfirefoxでマスターパスワード設定してたら
記録済みパスワードを全部抹消するアプデを正式リリースしちゃう位だから、
マスターパスワードなんてあるにはあるけど誰もメンテしないトマソンみたいな扱いなのかと思ってたよ。
まぁ後からこんな話になる程度には扱いの悪い機能ではあったということなのだろうけど。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Thunderbird 78.8.1～78.10.1、インポートしたOpenPGP秘密鍵を暗号化せずに保存していた 20

Thunderbird 78.8.1～78.10.1、インポートしたOpenPGP秘密鍵を暗号化せずに保存していた More ログイン

気にする人は (スコア:0)

Re: (スコア:0)

タレコミとの違いがわからない (スコア:0)

邪悪なM$の製品は危険(笑) (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

それは脆弱性ではない (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

で、いつ保存するんだい (スコア:0)

マスターパスワード管理下の話 (スコア:0)

スラド