漏洞标题
N/A
漏洞描述信息
HTTP2(RFC 8164)的随机加密功能允许连接在保留HTTP连接的视觉属性的同时 transparently 升级到TLS。其中,包括在端口80上与未加密的连接相同的来源。然而,如果在同一IP地址上的另一个加密端口(例如端口8443)未选择随机加密;网络攻击者可以将浏览器的连接转发到端口443到端口8443,使浏览器将端口8443的内容视为与HTTP相同的来源。通过禁用随机加密功能来解决此问题,该功能的使用频率较低。此漏洞影响Firefox<94, thunderbird<91.3,和Firefox ESR<91.3。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The Opportunistic Encryption feature of HTTP2 (RFC 8164) allows a connection to be transparently upgraded to TLS while retaining the visual properties of an HTTP connection, including being same-origin with unencrypted connections on port 80. However, if a second encrypted port on the same IP address (e.g. port 8443) did not opt-in to opportunistic encryption; a network attacker could forward a connection from the browser to port 443 to port 8443, causing the browser to treat the content of port 8443 as same-origin with HTTP. This was resolved by disabling the Opportunistic Encryption feature, which had low usage. This vulnerability affects Firefox < 94, Thunderbird < 91.3, and Firefox ESR < 91.3.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Mozilla Firefox 访问控制错误漏洞
漏洞描述信息
Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。 Mozilla Firefox 存在访问控制错误漏洞,该漏洞源于HTTP2 (RFC 8164) 的机会加密功能允许将连接透明地升级到 TLS,同时保留 HTTP 连接的视觉属性,包括与端口 80 上的未加密连接同源。相同的 IP 地址(例如端口 8443)没有选择加入机会加密;网络攻击者可以将浏览器到 443 端口的连接转发到 8443 端口,从而导致浏览器将 8443 端口的内容视为与 HTTP 同源。这是通过禁用使用率
CVSS信息
N/A
漏洞类别
授权问题