Plateforme
rust
Composant
cookie
Corrigé dans
0.7.6
0.6.2
0.6.2
La vulnérabilité CVE-2017-18589 affecte le crate cookie, une bibliothèque Rust pour la gestion des cookies. Elle se manifeste par un déni de service (DoS) lorsque la durée spécifiée dans le cookie Max-Age dépasse une certaine limite, entraînant un plantage. Les versions concernées sont celles antérieures à 0.6.2. Une correction a été apportée en validant et en limitant la durée Max-Age.
Cette vulnérabilité permet à un attaquant d'induire un plantage du serveur ou de l'application cliente en envoyant un cookie avec une durée Max-Age excessive. L'attaquant n'a pas besoin d'authentification pour exploiter cette faille, car elle est liée à la manière dont le crate cookie traite les valeurs de durée. Le plantage peut entraîner une interruption de service, une perte de données ou une dégradation des performances. Bien que l'impact soit principalement un DoS, il peut avoir des conséquences significatives pour la disponibilité d'une application.
Cette vulnérabilité a été rendue publique le 6 mai 2017. Il n'y a pas d'indications d'exploitation active à grande échelle. Un proof-of-concept (PoC) pourrait être développé facilement en raison de la simplicité de l'exploitation. La vulnérabilité n'a pas été ajoutée au catalogue KEV de CISA.
Statut de l'Exploit
EPSS
0.33% (percentile 56%)
Vecteur CVSS
La solution principale consiste à mettre à jour le crate cookie vers la version 0.6.2 ou ultérieure, qui inclut la correction. Si la mise à jour n'est pas immédiatement possible, une solution de contournement consiste à implémenter une validation stricte de la durée Max-Age avant de la traiter. Cette validation doit s'assurer que la durée est dans une plage acceptable et qu'elle ne dépasse pas la limite qui provoque le plantage. Il est également recommandé de surveiller les journaux d'erreurs pour détecter les tentatives d'exploitation de cette vulnérabilité.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2017-18589 is a denial-of-service vulnerability in the Rust 'cookie' crate where parsing large 'Max-Age' cookie values can cause a panic, leading to service disruption. It has a CVSS score of 7.5 (HIGH).
You are affected if you are using the 'cookie' crate in Rust and have a version prior to 0.6.2. Check your project's dependencies to determine if an upgrade is needed.
Upgrade the 'cookie' crate to version 0.6.2 or later. Alternatively, implement input validation to restrict the maximum Max-Age cookie value.
There is no public evidence of CVE-2017-18589 being actively exploited in the wild, but the vulnerability remains a potential risk.
Refer to the Rust 'cookie' crate's repository and related discussions for information about this vulnerability: https://github.com/rust-lang/cookie
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Cargo.lock et nous te dirons instantanément si tu es affecté.