debianforum.de

Hallo debianforum.de,
Ich sehe bei der CVE-Systematik nicht durch:
/usr/share/doc/thunderbird/changelog.Debian.gz:

…[ Carsten Schoenert ] … CVE-2018-5185: Leaking plaintext through HTML form (aka Efail).

- Warum schreibt aber http://cve.mitre.org/cgi-bin/cvekey.cgi ... -2018-5185:

CVE-2018-5185 ** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.

? und http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=Efail:

CVE-2017-17689 The S/MIME specification allows a Cipher Block Chaining (CBC) malleability-gadget attack that can indirectly lead to plaintext exfiltration, aka EFAIL.
CVE-2017-17688 ** DISPUTED ** The OpenPGP specification allows a Cipher Feedback Mode (CFB) malleability-gadget attack that can indirectly lead to plaintext exfiltration, aka EFAIL. NOTE: third parties report that this is a problem in applications that mishandle the Modification Detection Code (MDC) feature or accept an obsolete packet type, not a problem in the OpenPGP specification

?
Mit freundlichen Grüßen
bullgard

CVE-2018-?????? A Flaw in Mitre's CVE database allows arbitrary code insertion.

Security team wird auf einen Sicherheitsfehler hingewiesen, mit Beschreibung, CVE-Nr etc. Unter Umständen noch mit der Bitte bis zum Tage xx.xx.2018 nichts bezüglich dieses Fehlers zu veröffentlichen damit andere Hersteller zeitgleich Patches ausliefern können. Solange wird die CVE nicht öffentlich geschaltet und nur reserviert.

Die andere CVE 2017-xxxx ist vom letzten Jahr.

Wenn ich das richtig verstanden habe sind die Leute die dieses EFail gefunden haben schon vor einem Jahr an die OpenPGP DEVs ran getreten und sagten "Oy, Fehler, macht was". OpenPGP sagt "Wir geben in dem Fall eine Warnung aus und wenn diese Warnung vom Email Programm nicht richtig behandelt wird, dann ist das nicht unser Problem." Danach war wohl Funkstille bis das dann vor einiger Zeit durch die Medien ging.

bullgard hat geschrieben:

20.05.2018 06:14:27

Ich sehe bei der CVE-Systematik nicht durch:

CVE-Jahr-Nummer

Beispiel: CVE-2017-17689
https://cve.mitre.org/cgi-bin/cvename.c ... 2017-17689
auf der Webseite steht dann:
CNA war Mitre, 2017 (genauer 15. Dez.) wurde die Nummer vergeben

CNA: Organisation, die für nen bestimmten Bereich selbstständig ne Nummer rausgeben darf.
Mozilla ist z.B. CNA (und ich geh mal davon aus, dass Thunderbird zu ihrem Bereich gehören wird), Microsoft, Debian, etc stehen auch in der Liste, für sonstige Opensourcesachen läuft der Weg über nen Webformular des DWF (Distributed Weakness Filing Project), alles was keinen eigenen CNA hat, bekommt seine Nummer dann von Mitre.

Dass es mehrere CVE für EFAIL gibt ist nichts ungewöhnliches, die "Probleme" betreffen mehrere Komponenten. Da sind Teile mal früher oder später bekannt; es betrifft unterschiedlichste Software oder Konzepte; manchmal kommen zwei Leute unabhängig auf nen Problem und beantragen ne CVE-Nummer, ohne dass der jeweils andere davon Kenntnis hat; unterschiedliche Bereiche sind betroffen, daher mehrere CNA involviert, die jeweils eigene Nummern verteilen; ...

[1] https://cve.mitre.org/cve/cna.html
[2] http://cve.mitre.org/cve/request_id.htm ... rticipants

Das Security Team hat einen Automatismus um die CVE Einträge automatisch in den Tracker eintragen zu lassen, so passiert mit CVE-2017-17689 der zwar 2017 schon bei Mitre eingetragen worden ist aber erst vor wenigen Tagen für die Öffentlichkeit frei geschaltet worden ist.

Die Efail Geschichte und der CVE Eintrag dazu verlief leider etwas chaotisch, Mozilla wurde soweit mir bekannt nicht wirklich gut involviert und hat dann eigene CVE Einträge für die Efail angelegt. Ergibt dann doppelte CVEs die im Kern das selbe Sicherheitsproblem behandeln. Dies bedarf dann manueller Nacharbeit durch das Security Team in deren Tracker.

Wunderbar!
Vielen Dank für Eure informativen und hilfreichen Antworten!
Gruß
bullgard