阿里云漏洞库

低危 Mozilla Thunderbird 信息泄露漏洞

CVE编号

CVE-2019-11739

利用情况

暂无

补丁情况

官方补丁

披露时间

2019-09-28

漏洞描述

Mozilla Thunderbird是美国Mozilla基金会的一套从Mozilla Application Suite独立出来的电子邮件客户端软件。该软件支持IMAP、POP邮件协议以及HTML邮件格式。

Mozilla Thunderbird 60.9之前版本和68.1之前版本中存在信息泄露漏洞。攻击者可利用该漏洞获取明文信息。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://www.mozilla.org/en-US/security/advisories/mfsa2019-29/https://www.mozilla.org/en-US/security/advisories/mfsa2019-30/

参考链接
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00009.html
http://lists.opensuse.org/opensuse-security-announce/2019-10/msg00010.html
https://bugzilla.mozilla.org/show_bug.cgi?id=1571481
https://usn.ubuntu.com/4150-1/
https://www.mozilla.org/security/advisories/mfsa2019-29/
https://www.mozilla.org/security/advisories/mfsa2019-30/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	mozilla	thunderbird	*		Up to (excluding) 60.9.0
	运行在以下环境
	应用	mozilla	thunderbird	*	From (including) 68.0	Up to (excluding) 68.1.0
	运行在以下环境
	系统	amazon_2	thunderbird	*		Up to (excluding) 60.9.0-1.amzn2.0.1
	运行在以下环境
	系统	centos_7	thunderbird	*		Up to (excluding) 60.9.0-1.el7.centos
	运行在以下环境
	系统	debian_10	thunderbird	*		Up to (excluding) 60.9.0-1~deb10u1
	运行在以下环境
	系统	debian_11	thunderbird	*		Up to (excluding) 60.9.0-1
	运行在以下环境
	系统	debian_12	thunderbird	*		Up to (excluding) 60.9.0-1
	运行在以下环境
	系统	opensuse_Leap_15.0	enigmail	*		Up to (excluding) 68.1.1-lp150.3.51.1
	运行在以下环境
	系统	opensuse_Leap_15.1	enigmail	*		Up to (excluding) 68.1.1-lp151.2.13.1
	运行在以下环境
	系统	oracle_6	thunderbird	*		Up to (excluding) 60.9.0-1.0.1.el6_10
	运行在以下环境
	系统	oracle_7	thunderbird	*		Up to (excluding) 60.9.0-1.0.1.el7_7
	运行在以下环境
	系统	oracle_8	thunderbird	*		Up to (excluding) 60.9.0-2.0.1.el8_0
	运行在以下环境
	系统	redhat_7	thunderbird	*		Up to (excluding) 60.9.0-1.el7_7
	运行在以下环境
	系统	redhat_8	thunderbird	*		Up to (excluding) 60.9.0-2.el8_0
	运行在以下环境
	系统	ubuntu_16.04	thunderbird	*		Up to (excluding) 60.9.0+build1-0ubuntu0.16.04.2
	运行在以下环境
	系统	ubuntu_18.04	thunderbird	*		Up to (excluding) 60.9.0+build1-0ubuntu0.18.04.1

攻击路径

远程
攻击复杂度

复杂
权限要求

无需权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-319	敏感数据的明文传输