Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
Описание
При формировании заголовка HTTP Referer Mozilla Firefox и SeaMonkey не полностью отображают URL, когда он содержит учетные данные Basic-авторизации без имени пользователя, что облегчает злоумышленникам, действующим удаленно, задачу обхода механизма защиты приложения, основанного на заголовках Referer, используя, например, некоторые механизмы межсайтовой подмены запросов.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
http://www.mozilla.org/
http://www.mozilla.org/
Ссылки
BID (28448):http://www.securityfocus.com/bid/28448
FRSIRT (ADV-2008-0998):http://www.frsirt.com/english/advisories/2008/0998/references
SECTRACK (1019703):http://www.securitytracker.com/id?1019703
XF (mozilla-http-referrer-spoofing(41449)):http://xforce.iss.net/xforce/xfdb/41449
FRSIRT (ADV-2008-0998):http://www.frsirt.com/english/advisories/2008/0998/references
SECTRACK (1019703):http://www.securitytracker.com/id?1019703
XF (mozilla-http-referrer-spoofing(41449)):http://xforce.iss.net/xforce/xfdb/41449