ID CVE-2018-1060
Summary python before versions 2.7.15, 3.4.9, 3.5.6rc1, 3.6.5rc1 and 3.7.0 is vulnerable to catastrophic backtracking in pop3lib's apop() method. An attacker could use this flaw to cause denial of service.
References
Vulnerable Configurations
  • cpe:2.3:a:python:python:2.7.0:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.0:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.1:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.1:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.1:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.1:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.1:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.1:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.2:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.2:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.2:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.2:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.2:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.2:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.3:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.3:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.3:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.3:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.3:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.3:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.3:rc2:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.3:rc2:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.4:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.4:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.4:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.4:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.4:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.4:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.5:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.5:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.6:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.6:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.6:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.6:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.6:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.6:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.7:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.7:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.7:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.7:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.7:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.7:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.8:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.8:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.9:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.9:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.9:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.9:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.9:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.9:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.10:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.10:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.10:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.10:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.10:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.10:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.11:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.11:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.11:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.11:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.11:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.11:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.12:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.12:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.12:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.12:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.12:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.12:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.13:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.13:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.13:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.13:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.13:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.13:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.14:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.14:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.14:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.14:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:2.7.14:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:2.7.14:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:alpha1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:alpha1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:alpha2:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:alpha2:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:alpha3:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:alpha3:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:alpha4:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:alpha4:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:beta1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:beta2:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:beta3:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:beta3:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:beta4:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:beta4:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:rc2:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:rc2:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:rc3:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:rc3:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.0:rc4:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.0:rc4:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.1:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.1:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.1:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.1:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.1:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.1:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.2:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.2:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.2:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.2:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.2:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.2:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.3:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.3:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.3:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.3:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.3:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.3:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.4:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.4:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.4:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.4:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.4:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.4:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.5:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.5:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.5:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.5:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.5:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.5:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.6:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.6:*:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.6:-:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.6:-:*:*:*:*:*:*
  • cpe:2.3:a:python:python:3.5.6:rc1:*:*:*:*:*:*
    cpe:2.3:a:python:python:3.5.6:rc1:*:*:*:*:*:*
  • cpe:2.3:a:python:python:*:*:*:*:*:*:*:*
    cpe:2.3:a:python:python:*:*:*:*:*:*:*:*
  • cpe:2.3:o:fedoraproject:fedora:28:*:*:*:*:*:*:*
    cpe:2.3:o:fedoraproject:fedora:28:*:*:*:*:*:*:*
  • cpe:2.3:o:fedoraproject:fedora:29:*:*:*:*:*:*:*
    cpe:2.3:o:fedoraproject:fedora:29:*:*:*:*:*:*:*
  • cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:*
    cpe:2.3:o:fedoraproject:fedora:30:*:*:*:*:*:*:*
  • cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:*
    cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:*
  • cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:*
    cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:*
  • cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:esm:*:*:*
    cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:esm:*:*:*
  • cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
    cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:*
  • cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:*
    cpe:2.3:o:redhat:enterprise_linux_desktop:7.0:*:*:*:*:*:*:*
  • cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:*:*:*:*:*:*:*
    cpe:2.3:o:redhat:enterprise_linux_workstation:7.0:*:*:*:*:*:*:*
  • cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:*
    cpe:2.3:o:redhat:enterprise_linux_server:7.0:*:*:*:*:*:*:*
  • cpe:2.3:a:redhat:ansible_tower:3.3:*:*:*:*:*:*:*
    cpe:2.3:a:redhat:ansible_tower:3.3:*:*:*:*:*:*:*
  • cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
    cpe:2.3:o:debian:debian_linux:8.0:*:*:*:*:*:*:*
  • cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
    cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
CVSS
Base: 5.0 (as of 28-07-2022 - 11:31)
Impact:
Exploitability:
CWE NVD-CWE-noinfo
CAPEC
Access
VectorComplexityAuthentication
NETWORK LOW NONE
Impact
ConfidentialityIntegrityAvailability
NONE NONE PARTIAL
cvss-vector via4 AV:N/AC:L/Au:N/C:N/I:N/A:P
redhat via4
advisories
  • rhsa
    id RHBA-2019:0327
  • rhsa
    id RHSA-2018:3041
  • rhsa
    id RHSA-2018:3505
  • rhsa
    id RHSA-2019:1260
  • rhsa
    id RHSA-2019:3725
rpms
  • python-0:2.7.5-76.el7
  • python-debug-0:2.7.5-76.el7
  • python-debuginfo-0:2.7.5-76.el7
  • python-devel-0:2.7.5-76.el7
  • python-libs-0:2.7.5-76.el7
  • python-test-0:2.7.5-76.el7
  • python-tools-0:2.7.5-76.el7
  • tkinter-0:2.7.5-76.el7
  • python27-python-0:2.7.16-4.el6
  • python27-python-0:2.7.16-4.el7
  • python27-python-debug-0:2.7.16-4.el6
  • python27-python-debug-0:2.7.16-4.el7
  • python27-python-debuginfo-0:2.7.16-4.el6
  • python27-python-debuginfo-0:2.7.16-4.el7
  • python27-python-devel-0:2.7.16-4.el6
  • python27-python-devel-0:2.7.16-4.el7
  • python27-python-jinja2-0:2.6-12.el6
  • python27-python-jinja2-0:2.6-15.el7
  • python27-python-libs-0:2.7.16-4.el6
  • python27-python-libs-0:2.7.16-4.el7
  • python27-python-test-0:2.7.16-4.el6
  • python27-python-test-0:2.7.16-4.el7
  • python27-python-tools-0:2.7.16-4.el6
  • python27-python-tools-0:2.7.16-4.el7
  • python27-tkinter-0:2.7.16-4.el6
  • python27-tkinter-0:2.7.16-4.el7
  • rh-python36-python-0:3.6.9-2.el6
  • rh-python36-python-0:3.6.9-2.el7
  • rh-python36-python-debug-0:3.6.9-2.el6
  • rh-python36-python-debug-0:3.6.9-2.el7
  • rh-python36-python-debuginfo-0:3.6.9-2.el6
  • rh-python36-python-debuginfo-0:3.6.9-2.el7
  • rh-python36-python-devel-0:3.6.9-2.el6
  • rh-python36-python-devel-0:3.6.9-2.el7
  • rh-python36-python-libs-0:3.6.9-2.el6
  • rh-python36-python-libs-0:3.6.9-2.el7
  • rh-python36-python-test-0:3.6.9-2.el6
  • rh-python36-python-test-0:3.6.9-2.el7
  • rh-python36-python-tkinter-0:3.6.9-2.el6
  • rh-python36-python-tkinter-0:3.6.9-2.el7
  • rh-python36-python-tools-0:3.6.9-2.el6
  • rh-python36-python-tools-0:3.6.9-2.el7
  • python-0:2.7.5-74.el7_5
  • python-debug-0:2.7.5-74.el7_5
  • python-debuginfo-0:2.7.5-74.el7_5
  • python-devel-0:2.7.5-74.el7_5
  • python-libs-0:2.7.5-74.el7_5
  • python-test-0:2.7.5-74.el7_5
  • python-tools-0:2.7.5-74.el7_5
  • tkinter-0:2.7.5-74.el7_5
  • python-0:2.7.5-63.el7_4
  • python-debug-0:2.7.5-63.el7_4
  • python-debuginfo-0:2.7.5-63.el7_4
  • python-devel-0:2.7.5-63.el7_4
  • python-libs-0:2.7.5-63.el7_4
  • python-test-0:2.7.5-63.el7_4
  • python-tools-0:2.7.5-63.el7_4
  • tkinter-0:2.7.5-63.el7_4
refmap via4
confirm
debian
  • DSA-4306
  • DSA-4307
fedora
  • FEDORA-2019-51f1e08207
  • FEDORA-2019-6e1938a3c5
  • FEDORA-2019-cf725dd20b
misc https://www.oracle.com/security-alerts/cpujan2020.html
mlist
  • [debian-lts-announce] 20180925 [SECURITY] [DLA 1519-1] python2.7 security update
  • [debian-lts-announce] 20180926 [SECURITY] [DLA 1520-1] python3.4 security update
sectrack 1042001
suse openSUSE-SU-2020:0086
ubuntu
  • USN-3817-1
  • USN-3817-2
Last major update 28-07-2022 - 11:31
Published 18-06-2018 - 14:29
Last modified 28-07-2022 - 11:31
Back to Top