Portál AbcLinuxu, 3. května 2024 01:54


Bezpečnostní chyba v KMailu

V KMailu byla nalezena a opravena bezpečnostní chyba CVE-2017-9604 týkající se uživatelů, již své maily podepisují a šifrují pomocí OpenPGP. Pokud uživatel KMailu při odesílání mailu zvolil možnost Odeslat později, tak byl mail odeslán nepodepsaný a v otevřeném tvaru.

21.6.2017 05:55 | Ladislav Hagara | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

21.6.2017 06:56 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v KMailu
Odpovědět | Sbalit | Link | Blokovat | Admin
týkající se uživatelů, jež své maily podepisují

již :-)

Nebo prostě "kteří". Nevypadá to sice tak cool, ale tam se člověk obvykle nesplete.

21.6.2017 13:24 Ladislav Hagara | skóre: 102 | blog: Ride the Raven
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v KMailu
Děkuji. Opraveno.
21.6.2017 07:56 Ladislav
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v KMailu
Odpovědět | Sbalit | Link | Blokovat | Admin
Ty vole, to je poriadna chyba... Otras...
21.6.2017 11:22 Xerces
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v KMailu
Ale zas kdo dává odeslat později. Nehledě na to, že na takovou chybu se snadno příjde. Spíš je vidět kolik lidí asi tuto kombinaci používá. Osobně jsem Kmail opustil v okamžiku přechodu z KDE3 a zatím mne nepřesvědčil k návratu.
21.6.2017 11:31 Pavlus | Město Touškov
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v KMailu
A co používáte v KDE? Nebo jste opustil i KDE?
21.6.2017 11:39 fi
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v KMailu
Ja presel na Trinity, ale na postu jsem zacal pouzivat mutt, protoze mi to prislo nejvic future-proof reseni.
21.6.2017 11:34 Pavel Píša | skóre: 18 | blog: logic
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v KMailu
Odpovědět | Sbalit | Link | Blokovat | Admin

Ne vždy jde vývoj ideálním směrem.

Otestoval jsem chování na svém archaickém počítači a desktopu (Wheezy s Trinity) a vše je v pořádku. Při Send later se Kmail zeptá na klíč pro zašifrování, pak se zeptá na heslo ke klíči k podpisu. U obojího dá na výběr i alternativy. Zpráva je vložena do fronty na odeslání. Zakryptovaná, podpis není vidět. Po přijetí není vidět obsah ani podpis. Po požadavku na zobrazení se zeptá na klíč a pak je vidět v modrém ohraničení zpráva ještě obalená zeleným podpisem (kontrola je v pořádku). 

Qt: 3.5.0
TDE: R14.0.4
KMail: 1.9.10 (enterprise35 0.20100827.1168748)

Na druhou stranu Trinity Kmail má zásadní problémy s hodně zaplněnými složkami. Mailinglisty, které mám po letech rozdělené tak na 10 až 30k na jednu složku jsou již celkem nepoužitelné.

Zase starý desktop má výhodu, used - buffers - cached mi s Firefoxem vychází na 1 GB.

21.6.2017 11:49 Pavel Píša | skóre: 18 | blog: logic
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v KMailu
Tak jsem ještě přeměřil spotřebu paměti.

Po startu desktopu s jednou TDE konzolí 245 MB

S TDE Kmailem (13G mailů ve složkách) 361 MB

S konquerrorem na této stránce ABClinuxu 423 MB

I když je pravda, že jako obecný webový prohlížeč na dnešní stránky to řešení použitelné není. Používám Firefox/Iceweasel.

21.6.2017 12:19 Kate | skóre: 9
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v KMailu
„KDE 5“: Plasma 138 MB, kwin 176 MB, akonadi nějaké drobně, asi tak 20, pak pár dalších drobných procesů taky tak 30…

Kontact 40 MB

Nějak mi nepřijde že by to byly po 6 dnech uptime nějak příšerně vysoké hodnoty :)
21.6.2017 12:02 R
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v KMailu
Mam tu najviac 9800 sprav a nevsimol som si ziadny problem. A to na Celerone 900 MHz s 1GB RAM.
21.6.2017 12:32 Slávek
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v KMailu
Děkuji - to už asi nemusím zkoumat, zda je třeba záplatu backportovat i do Trinity :)

Maily máš stažené lokálně a nebo přes IMAP? Leckdy totiž také mám složky se 10 až 30k zpráv, používám IMAP a KMail (v Trinity) funguje v pohodě... použitelněji, než Thunderbird.
21.6.2017 18:07 Pavel Píša | skóre: 18 | blog: logic
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v KMailu
Děkuji za údržbu Trinity.

Na můj test bych se zas tak nespoléhal. Když to otestuje více lidí na různých buildech, je to lepší.

E-maily mám lokálně, chci je mít u sebe i když jedu vlakem, konzultuji v nějaké firmě, kde není připojení atd. Historiky používám MBOX. U MDIRu se mi to zdálo ještě horší, ale kdo ví.

Letošní složka arm-linux-kernel, 38k zpráv. Zrovna teď to nevypadá špatně. Ale někdy se kmail dost zamyslí. Někdy i při psaní e-malu, i když jsem v jiné složce, se na tak pět sekund odmlčí. To je myslím compact folderu na pozadí. Ale někdy přepnutí na hodně naplněnou složku je utrpení.

Ale i pře to jednoduchost, integrace s Kontaktem, Kopette atd mě vyhovují a z novějších verzí mám obavy. Na svém starém HW určitě.

Na desktopu pro práci mám Jessie a také s Trinity a jsem spokojený. Rodičům jsem nainstaloval před lety Jessie s mainline KDE, chodí ale občas se tam stane něco divného. Například některé e-maily nejdou smazat. Musí se restartovat desktop. Sekne se panel. Spíš se to s opravami zlepšuje. Ale mám z toho stejně pocit menší jistoty než s Trinity. Chci tam mít ale mainline Debian instalaci. Ve škole mám také Debian s KDE, ale ten používám spíš jen vzdáleně z notebooku, i když ho mám pod stolem. Takže nějaký pocit z pravidelného provozu/používání nemám. A na cvičení v laboratořích máme maximálně odlehčený diskless desktop s XFCM. Z jednoho exportu teď jede asi 2*20 počítačů u nás, občas dalších 20 o dvě patra výš a někdy dalších 40 v Dejvicích. Ale Trinity jako desktop, sada základních aplikací mi vyhovuje více.
21.6.2017 21:29 R
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v KMailu
Na starom HW som KDE4 skusal a bola to tragedia - po kazdom kliknuti som cakal, akoby mi niekto vymenil pocitac za 386. Asi dosledok molocha Qt4...

Aj stary KMail ma svoje bugy, napr. obcas pri mazani viacerych sprav (velky mailing list - LKML) cely padne a niekedy sa pri tom dostane do takeho stavu, ze nejde pracovat so spravami (niektorymi?) v danom folderi, vzdy to padne. Ale uz mam vyskusane, ze to staci nechat bezat, nech prijde dalsich par (desiatok) sprav a ono sa to nejako samo opravi...
22.6.2017 20:07 Slávek
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v KMailu
Kdysi jsme také v práci měli jeden postarší stroj, na kterém v pohodě běhalo KDE3.5. Pak jsme tam zkusili dát KDE4... chodilo to tak parádně, že jsme kvůli tomu hardware toho stroje postupně nadvakrát komplet inovovali (až tak starý ten původní stroj byl), aby KDE4 chodilo (neodvažuji se to nazývat běhalo) alespoň trochu srovnatelně s původním KDE3.5.

Protože s tím ale neustále byly různé problémy a aktualizace KDE4 ze 4.4 přes 4.6 na 4.8 vlastně jen přinášely další nové problémy, tak nakonec šlo KDE4 přes palubu. S Trinity pak ten stroj nejen, že byl zase normálně svižný, ale rázem i pominuly problémy.

Ano, havárii při mazání zpráv také občas zaznamenám. Jen jsem po tom ještě nepátral podrobněji, aby bylo dost informací v vystopování problému. V poslední době jsem pozoroval havárie v případě, kdy jsem mazal zprávy z výsledků vyhledávání a byly z různých složek.

Občas se mi ještě stane, že se nějak pochroumá index a seznam zpráv ačkoliv zobrazuje posuvník, nezobrazí žádný obsah, nejde přecházet mezi zprávami, prostě jako by nebyly. Po přepnutí do jiné složky a zpět se index napraví.
22.6.2017 19:41 Slávek
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v KMailu
Zmiňované zamyšlení KMailu pozoruji v případech, když přijde na řadu automatické vypršení starých zpráv a je jich zrovna k vyhození hodně (pár stovek či tisíců).

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.