Platform
rust
Component
cookie
Opgelost in
0.7.6
0.6.2
0.6.2
CVE-2017-18589 is een Denial of Service (DoS) kwetsbaarheid in de Rust cookie crate. Deze kwetsbaarheid ontstaat doordat de crate de Duration::seconds methode gebruikt om de Max-Age cookie-instelling te parsen. Wanneer de waarde van Max-Age buiten een specifiek bereik valt, kan dit een panic veroorzaken, wat resulteert in een DoS voor de client of server. De kwetsbaarheid is verholpen in versie 0.6.2.
Een aanvaller kan deze kwetsbaarheid misbruiken door een kwaadwillige Max-Age cookie te sturen naar een applicatie die de cookie crate gebruikt. De waarde van deze cookie moet groter zijn dan 2^64/1000 en kleiner of gelijk aan 2^64. Wanneer de applicatie deze cookie verwerkt, zal de Duration::seconds methode een panic veroorzaken, waardoor de applicatie crasht of niet meer reageert. Dit leidt tot een Denial of Service. De impact is afhankelijk van de kritikaliteit van de applicatie die de crate gebruikt; een crash van een kritieke service kan leiden tot aanzienlijke verstoringen.
Deze kwetsbaarheid is openbaar bekend en er zijn geen meldingen van actieve exploitatie op dit moment. De kwetsbaarheid is opgenomen in de NVD (National Vulnerability Database) en de CISA KEV catalogus. Er zijn geen publieke proof-of-concept exploits beschikbaar, maar de eenvoud van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst een exploit zal verschijnen.
Exploit Status
EPSS
0.33% (56% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden van de cookie crate naar versie 0.6.2 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het valideren van de Max-Age cookie-waarde voordat deze wordt verwerkt. Dit kan door de waarde te controleren op een bereik dat binnen de veilige grenzen valt. Implementeer deze validatie in de code die de cookie verwerkt. Na de upgrade, bevestig de fix door een cookie met een grote Max-Age waarde te sturen en te controleren of er geen panic optreedt.
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2017-18589 is a denial-of-service vulnerability in the Rust 'cookie' crate where parsing large 'Max-Age' cookie values can cause a panic, leading to service disruption. It has a CVSS score of 7.5 (HIGH).
You are affected if you are using the 'cookie' crate in Rust and have a version prior to 0.6.2. Check your project's dependencies to determine if an upgrade is needed.
Upgrade the 'cookie' crate to version 0.6.2 or later. Alternatively, implement input validation to restrict the maximum Max-Age cookie value.
There is no public evidence of CVE-2017-18589 being actively exploited in the wild, but the vulnerability remains a potential risk.
Refer to the Rust 'cookie' crate's repository and related discussions for information about this vulnerability: https://github.com/rust-lang/cookie
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je Cargo.lock-bestand en we vertellen je direct of je getroffen bent.