安全中国首页 > 新闻中心 > 其他漏洞
 

IE以及 Firefox 浏览器 Digest 认证请求拆分漏洞

更新时间:2007-10-25 0:02:56
责任编辑:池天
热 点:
受影响系统:
Microsoft Internet Explorer 7.0.5730.11
Mozilla Thunderbird < 2.0.0.8
Mozilla SeaMonkey < 1.1.5

不受影响系统:
Mozilla Thunderbird 2.0.0.8
Mozilla SeaMonkey 1.1.5

描述:

BUGTRAQ  ID: 23668
CVE(CAN) ID: CVE-2007-2292

IE和Firefox都是流行的WEB浏览器。

IE和Firefox在处理Digest认证方式时存在漏洞,可能导致验证失败。

如果用户使用Digest认证通过HTTP请求登录到网站的话,Firefox和IE可能无法正确地验证用户ID。恶意的网页可能在用户ID中包含有换行字符(%0a)注入头数据,如果用户通过代理进行连接的话代理就可能将认证请求解释为两个独立的请求,导致注入任意HTTP头。

厂商补丁:

Mozilla

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.mozilla.org/projects/seamonkey/
http://www.mozilla.com/en-US/firefox/

RedHat

RedHat已经为此发布了安全公告(RHSA-2007:0981-01、RHSA-2007:0979-01、RHSA-2007:0980-01)以及相应补丁:
RHSA-2007:0981-01:Moderate: thunderbird security update
链接:https://www.redhat.com/support/errata/RHSA-2007-0981.html

RHSA-2007:0979-01:Critical: firefox security update
链接:https://www.redhat.com/support/errata/RHSA-2007-0979.html

RHSA-2007:0980-01:Critical: seamonkey security update
链接:https://www.redhat.com/support/errata/RHSA-2007-0980.html

 
安全中国网友投稿专用上传FTP空间:
Ftp服务器:www.anqn.com
Ftp端口:21
用户名:anqn
密 码:anqn.com
 
学习软件编程开发技术,推荐加入以下软件编程培训班:
易语言软件编程培训班(简单易学)  Delphi软件编程培训班  VC++软件编程培训班
VB软件编程培训班  JAVA高端编程就业研发班

学习网站开发制作技术,推荐加入以下网站开发培训班:
ASP.net网站开发项目实战班  ASP语言网站建设培训班

学习网络安全入侵防护技术,推荐加入以下技术培训班:
大型网络安全入侵防护班  网站脚本程序全方位安全检测班

学习网络管理、网吧运营维护技术(网管),推荐加入以下培训班:
大型网吧技术管理人才特训班  Linux网络嵌入架构工程师培训班

学习专项特殊技术,推荐加入以下专项技术培训班:
软件与游戏外挂脱壳破解班(逆向工程)  赚钱王道-网赚技能培训班  Flash动画设计师就业特训班