Plataforma
rust
Componente
cookie
Corrigido em
0.7.6
0.6.2
0.6.2
A vulnerabilidade CVE-2017-18589 afeta a biblioteca 'cookie' escrita em Rust. Essa falha de negação de serviço (DoS) ocorre devido à forma como a biblioteca processa o valor 'Max-Age' em cookies, especificamente ao usar a função Duration::seconds da crate 'time'. Versões anteriores a 0.6.2 são vulneráveis, e a correção envolve a validação do valor 'Max-Age' antes de processá-lo.
Um atacante pode explorar essa vulnerabilidade enviando um cookie com um valor 'Max-Age' que esteja entre 2^64/1000 e 2^64. Esse valor, quando processado pela biblioteca 'cookie', causa um pânico na aplicação Rust, levando à negação de serviço. O impacto é a indisponibilidade do serviço afetado, impedindo que usuários legítimos acessem ou utilizem a aplicação. A severidade é considerada alta devido ao potencial de interrupção do serviço e à relativa facilidade de exploração, uma vez que o atacante precisa apenas manipular o valor de um cookie.
A vulnerabilidade foi divulgada em 6 de maio de 2017. Não há evidências de exploração ativa em campanhas direcionadas. A existência de um Proof of Concept (PoC) público aumenta o risco de exploração oportunista. A vulnerabilidade foi adicionada ao KEV (Known Exploited Vulnerabilities) da CISA, indicando que ela é considerada uma ameaça significativa.
Status do Exploit
EPSS
0.33% (percentil 56%)
Vetor CVSS
A mitigação primária é atualizar a biblioteca 'cookie' para a versão 0.6.2 ou superior, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, implemente uma validação de entrada robusta para o valor 'Max-Age' antes de passá-lo para a função Duration::seconds. Essa validação deve garantir que o valor esteja dentro de um intervalo seguro, evitando o pânico. Considere o uso de um Web Application Firewall (WAF) para filtrar solicitações com valores 'Max-Age' suspeitos. Após a atualização, confirme a correção verificando se o processamento de cookies com valores 'Max-Age' potencialmente problemáticos não causa mais pânico na aplicação.
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de negação de serviço (DoS) na biblioteca 'cookie' escrita em Rust, onde um valor 'Max-Age' malicioso pode causar um pânico na aplicação.
Se você estiver usando uma versão da biblioteca 'cookie' anterior a 0.6.2, você está vulnerável a essa falha de DoS.
Atualize a biblioteca 'cookie' para a versão 0.6.2 ou superior. Se a atualização não for possível, implemente validação de entrada para o valor 'Max-Age'.
Embora não haja evidências de exploração ativa em campanhas direcionadas, a existência de um PoC público aumenta o risco de exploração oportunista.
Consulte o repositório do cookie crate Rust no GitHub para obter informações e atualizações sobre a vulnerabilidade: [https://github.com/rust-lang/cookie](https://github.com/rust-lang/cookie)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo Cargo.lock e descubra na hora se você está afetado.