[inkompatibel] Thunderbird 78.2 und GnuPG

Du hast Probleme mit Deinem eMail-Programm, Webbrowser oder Textprogramm? Dein Lieblingsprogramm streikt?
mcb

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von mcb » 21.05.2021 14:41:08

ingo2 hat geschrieben: ↑ zum Beitrag ↑
21.05.2021 12:04:39
So, jetzt ist meine Befürchtung mehr als nur wahr geworden:

https://www.heise.de/news/Thunderbird-s ... ag.beitrag

Ingo
Ja -

ist aber schon "gefixt" in 78.10.2

Nur für Debian gibt es das noch nicht :oops: Kleiner Nachteil einer Stable-Distribution ...

OK grade nochmal geschaut -> es ist jetzt auf dem Weg:

Code: Alles auswählen

apt policy thunderbird
thunderbird:
  Installed: 1:78.10.0-1
  Candidate: 1:78.10.0-1
  Version table:
     1:78.10.2-1 300
        300 http://deb.debian.org/debian unstable/main amd64 Packages
 *** 1:78.10.0-1 990
        990 http://deb.debian.org/debian bullseye/main amd64 Packages
        100 /var/lib/dpkg/status

Ach diesmal warte ich einfach ab :roll:

Code: Alles auswählen

marc@mb:~$ doas /usr/bin/apt -t sid install thunderbird
doas (marc@mb) password: 
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
The following additional packages will be installed:
  libx11-6 libx11-6:i386 libx11-dev libx11-xcb1 libx11-xcb1:i386
Suggested packages:
  libx11-doc fonts-lyx
The following packages will be upgraded:
  libx11-6 libx11-6:i386 libx11-dev libx11-xcb1 libx11-xcb1:i386 thunderbird
6 upgraded, 0 newly installed, 0 to remove and 226 not upgraded.
Need to get 44.4 MB of archives.
After this operation, 12.3 kB of additional disk space will be used.
Do you want to continue? [Y/n] 


reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von reox » 21.05.2021 15:13:36

Kann man eigentlich nachschauen mit welcher Version man den Key importiert hat? Ich würde gerne wissen ob das vor 78.8.1 war...

mcb

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von mcb » 21.05.2021 16:02:25

reox hat geschrieben: ↑ zum Beitrag ↑
21.05.2021 15:13:36
Kann man eigentlich nachschauen mit welcher Version man den Key importiert hat? Ich würde gerne wissen ob das vor 78.8.1 war...
Schau mal hier:

https://bugzilla.mozilla.org/show_bug.cgi?id=1710290

Dort ist eine Anleitung (hätte heise auch mal erwähnen können ...)

reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von reox » 21.05.2021 16:16:16

mcb hat geschrieben: ↑ zum Beitrag ↑
21.05.2021 16:02:25
Schau mal hier:

https://bugzilla.mozilla.org/show_bug.cgi?id=1710290
das sagt mir aber nur was sinnvolles wenn ich 78.10.2 noch nicht eingespielt habe oder? weil nachher ist der key ja wieder protected, wenn er es vorher nicht war.

mcb

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von mcb » 21.05.2021 18:45:21

reox hat geschrieben: ↑ zum Beitrag ↑
21.05.2021 16:16:16
mcb hat geschrieben: ↑ zum Beitrag ↑
21.05.2021 16:02:25
Schau mal hier:

https://bugzilla.mozilla.org/show_bug.cgi?id=1710290
das sagt mir aber nur was sinnvolles wenn ich 78.10.2 noch nicht eingespielt habe oder? weil nachher ist der key ja wieder protected, wenn er es vorher nicht war.
Da kannst du dir Anzeigen lassen ob du betroffen bist (mit dem Konsolenzeug) -

alternativ kann man auch weiter gpg extern einbinden - das müsste hier im Thread stehn ...

reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von reox » 23.05.2021 09:45:59

mcb hat geschrieben: ↑ zum Beitrag ↑
21.05.2021 18:45:21
Da kannst du dir Anzeigen lassen ob du betroffen bist (mit dem Konsolenzeug) -
Ja schon, aber ich kann nicht wissen ob ich betroffen war - auf den Büro PCs wurde thunderbird schon upgegraded bevor ich schauen konnte ob ich wohlmöglich nach 78.8.1 den key eingespielt hab...

mcb

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von mcb » 23.05.2021 12:22:53

reox hat geschrieben: ↑ zum Beitrag ↑
23.05.2021 09:45:59
mcb hat geschrieben: ↑ zum Beitrag ↑
21.05.2021 18:45:21
Da kannst du dir Anzeigen lassen ob du betroffen bist (mit dem Konsolenzeug) -
Ja schon, aber ich kann nicht wissen ob ich betroffen war - auf den Büro PCs wurde thunderbird schon upgegraded bevor ich schauen konnte ob ich wohlmöglich nach 78.8.1 den key eingespielt hab...
Und jetzt weißt du nicht ob dort der Key auf der Pladde liegt ? Durch das Update soll Thunderbird das doch dann wieder "reparieren" ?

100% verstehe ich es nicht - müßtest auf dem PC schauen ?

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von ingo2 » 23.05.2021 17:46:29

mcb hat geschrieben: ↑ zum Beitrag ↑
21.05.2021 14:41:08
OK grade nochmal geschaut -> es ist jetzt auf dem Weg:

Code: Alles auswählen

apt policy thunderbird
thunderbird:
  Installed: 1:78.10.0-1
  Candidate: 1:78.10.0-1
  Version table:
     1:78.10.2-1 300
        300 http://deb.debian.org/debian unstable/main amd64 Packages
 *** 1:78.10.0-1 990
        990 http://deb.debian.org/debian bullseye/main amd64 Packages
        100 /var/lib/dpkg/status

Ist aber noch ein längerer Weg bis das in Buster ankommt:
https://security-tracker.debian.org/tra ... hunderbird

Und wenn man sich mal die Liste weiter unten anschaut - wieviele Löcher allein in 2021 gefunden wurden und solche wie aktuell nur als "Low" bewertet werden - ist TB ein Security-Desaster.

reox
Beiträge: 2459
Registriert: 06.06.2006 22:09:47
Lizenz eigener Beiträge: MIT Lizenz

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von reox » 23.05.2021 19:35:01

mcb hat geschrieben: ↑ zum Beitrag ↑
23.05.2021 12:22:53
Und jetzt weißt du nicht ob dort der Key auf der Pladde liegt ? Durch das Update soll Thunderbird das doch dann wieder "reparieren" ?

100% verstehe ich es nicht - müßtest auf dem PC schauen ?
Ganz einfach: Auf der Kiste ist bereits 78.10.2 drauf. Das Script sagt mir also, dass die Keys safe sind.
Aber die Frage ist ob zu irgendeiner Zeit der Key nicht verschlüsselt war. Vor dem Import war er jedenfalls durch eine Passphrase geschützt und aktuell ist er es auch wieder.
Ich bin mir fast sicher, dass der Import vor 78.8.1 war - kann es aber nicht ausschließen.

mcb

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von mcb » 23.05.2021 20:33:36

reox hat geschrieben: ↑ zum Beitrag ↑
23.05.2021 19:35:01
mcb hat geschrieben: ↑ zum Beitrag ↑
23.05.2021 12:22:53
Und jetzt weißt du nicht ob dort der Key auf der Pladde liegt ? Durch das Update soll Thunderbird das doch dann wieder "reparieren" ?

100% verstehe ich es nicht - müßtest auf dem PC schauen ?
Ganz einfach: Auf der Kiste ist bereits 78.10.2 drauf. Das Script sagt mir also, dass die Keys safe sind.
Aber die Frage ist ob zu irgendeiner Zeit der Key nicht verschlüsselt war. Vor dem Import war er jedenfalls durch eine Passphrase geschützt und aktuell ist er es auch wieder.
Ich bin mir fast sicher, dass der Import vor 78.8.1 war - kann es aber nicht ausschließen.
Ach ja so ist es klar ...

mcb

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von mcb » 23.05.2021 20:38:21

ingo2 hat geschrieben: ↑ zum Beitrag ↑
23.05.2021 17:46:29
mcb hat geschrieben: ↑ zum Beitrag ↑
21.05.2021 14:41:08
OK grade nochmal geschaut -> es ist jetzt auf dem Weg:

Code: Alles auswählen

apt policy thunderbird
thunderbird:
  Installed: 1:78.10.0-1
  Candidate: 1:78.10.0-1
  Version table:
     1:78.10.2-1 300
        300 http://deb.debian.org/debian unstable/main amd64 Packages
 *** 1:78.10.0-1 990
        990 http://deb.debian.org/debian bullseye/main amd64 Packages
        100 /var/lib/dpkg/status

Ist aber noch ein längerer Weg bis das in Buster ankommt:
https://security-tracker.debian.org/tra ... hunderbird

Und wenn man sich mal die Liste weiter unten anschaut - wieviele Löcher allein in 2021 gefunden wurden und solche wie aktuell nur als "Low" bewertet werden - ist TB ein Security-Desaster.
Ich bin Recht zufrieden mit Thunderbird und den Key muß ich ja noch nicht im Programm speichern.

Ich habe auch noch nichts anderes gefunden ? Seamonkey fand ich mal cool. (Gibt es das noch ?) -

OK inzwischen habe ich keinen Dualboot mehr - aber mir fehlt die Muße EMail Programme zu konfigurieren ..........................

tijuca
Beiträge: 296
Registriert: 22.06.2017 22:12:20

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von tijuca » 24.05.2021 07:23:32

ingo2 hat geschrieben: ↑ zum Beitrag ↑
23.05.2021 17:46:29
Und wenn man sich mal die Liste weiter unten anschaut - wieviele Löcher allein in 2021 gefunden wurden und solche wie aktuell nur als "Low" bewertet werden - ist TB ein Security-Desaster.
Ahh, o.k.. Du machst also die Entscheidung, ob eine Software sicher oder unsicher ist, von der Menge der veröffentlichen CVEs abhängig?
Dann "gewinnt" natürlich proprietäre Software! 8)

Und damit Du sicher bleiben und bei Deiner Meinung bleiben kannst, es wird keine 78.10.2 für stable-security geben. Steht auch auf der Seite.

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von ingo2 » 26.05.2021 22:58:49

Für Buster kommt das Fix mit dem normalen Update auf 78.11.

BTW: RedHat hat übrigens die PGP-Funktion für RHEL komplett disabled. Im Bug-Report https://bugzilla.redhat.com/show_bug.cgi?id=1886958 heißt es:
(In reply to Fabian Arrotin from comment #10)
> So now the question : as Fedora ships thunderbird with that librnp.so file,
> why is that removed/stripped from RHEL builds ? The line " we cannot deliver
> that in RHELs" doesn't mention the reason why it was removed.

It was removed based on the request from Red Hat's Security Response Team (SRT)
Aber es gibt auch gute Neuigkeiten: "Oktopus", bitte selber lesen:
https://sequoia-pgp.org/blog/2021/04/08 ... underbird/

Darin findet man auch Deteils zu weiteren "Unschönheiten" in der RNP-lib.

Benutzeravatar
GregorS
Beiträge: 2502
Registriert: 05.06.2008 09:36:37
Wohnort: Freiburg
Kontaktdaten:

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von GregorS » 27.05.2021 00:21:04

ingo2 hat geschrieben: ↑ zum Beitrag ↑
31.08.2020 17:27:54
Im kommenden Monat wird ja Debianthunderbird auf 78.2 upgegradet (ist schon in experimental).
Damit wird Debianenigmail ersetzt durch eine TB-eigene GnuPG-Funktionalität - leider.
....
Ja, das ist wirklich übel. Die Integration von Enigmail in TB ist IMO unter aller Sau. Nagle den aktuellen Stand fest, verschweiße ihn luftdicht, balsamiere ihn ein oder mach sonstwas. Nachdem ich den Fehler gemacht hatte, einen Upgrade auf die neue TB-Version zuzulassen, habe ich das GPG/PGP-Gehample in die Tonne getreten (Anthrax bestelle ich jetzt halt wieder offline :-)

Da ich sowieso nur zwei Kontakte habe, mit denen ich verschlüsselt mailen konnte, war das nicht so schlimm. Wenn man richtig darauf angewiesen ist, ist man mit der Enigmail-Integration in TB echt angeschmiert.

Nur mal so meine Meinung ...

Gregor

PS/BTW: Der CCC konnte vor ein paar Wochen mit meinem PGP-Schlüssel nichts anfangen, weil deren Software wohl nur mit einem bestimmten Schlüsselserver zurecht kommt. Peinlich ... ausgerechnet der CCC ...
Wenn man keine Probleme hat, kann man sich welche machen. ("Großes Lötauge", Medizinmann der M3-Hopi [und sog. Maker])

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: [inkompatibel] Thunderbird 78.2 und GnuPG

Beitrag von ingo2 » 28.05.2021 22:40:00

Hier noch ein sehr interessanter und aufschlussreicher Beitrag im Thunderbird e2ee_Forum:

https://thunderbird.topicbox.com/groups ... -licensing

Zumindest beschreibt er die zahlreichen Fehler und Unzulänglichkeiten der noch unfertigen "RNP-Bibliothek" und die Alternative "Secoia+Octopus" als mögliche Lösung.

Auch versucht Mozilla zu erklären, warum sie die RNP gewählt haben - mit dem Fazit "Thunderbird soll keine FLOSS-Software sein/werden".

Antworten