Vulnerability Name:

CVE-2018-1060

Assigned:2017-12-04
Published:2018-06-14
Updated:2018-08-17
Summary:python before versions 2.7.15, 3.4.9, 3.5.6rc1, 3.6.5rc1 and 3.7.0 is vulnerable to catastrophic backtracking in pop3lib's apop() method. An attacker could use this flaw to cause denial of service.
CVSS v3 Severity:7.5 High (CVSS v3 Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
6.5 Medium (Temporal CVSS v3 Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C)
Exploitability Metrics:Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope:Scope (S): Unchanged
Impact Metrics:Confidentiality (C): None
Integrity (I): None
Availibility (A): High
6.5 Medium (CCN CVSS v3 Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H)
5.7 Medium (CCN Temporal CVSS v3 Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C)
Exploitability Metrics:Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): Required
Scope:Scope (S): Unchanged
Impact Metrics:Confidentiality (C): None
Integrity (I): None
Availibility (A): High
CVSS v2 Severity:5.0 Medium (CVSS v2 Vector: AV:N/AC:L/Au:N/C:N/I:N/A:P)
Exploitability Metrics:Access Vector (AV): Network
Access Complexity (AC): Low
Authentication (Au): None
Impact Metrics:Confidentiality (C): None
Integrity (I): None
Availibility (A): Partial
6.8 Medium (CCN CVSS v2 Vector: AV:N/AC:L/Au:S/C:N/I:N/A:C)
Exploitability Metrics:Access Vector (AV): Network
Access Complexity (AC): Low
Athentication (Au): Single_Instance
Impact Metrics:Confidentiality (C): None
Integrity (I): None
Availibility (A): Complete
Vulnerability Type:CWE-399
References:Source: CONFIRM
Type: VENDOR_ADVISORY
https://bugs.python.org/issue32981

Source: CONFIRM
Type: UNKNOWN
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-1060

Source: CONFIRM
Type: UNKNOWN
https://docs.python.org/3.5/whatsnew/changelog.html#python-3-5-6-release-candidate-1

Source: CONFIRM
Type: UNKNOWN
https://docs.python.org/3.6/whatsnew/changelog.html#python-3-6-5-release-candidate-1

Source: XF
Type: UNKNOWN
python-cve20181060-dos(145116)

Vulnerable Configuration:Configuration 1:
  • cpe:/a:python:python:-:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:0.9.0:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:0.9.1:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:1.2:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:1.3:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:1.5.2:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:1.6:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:1.6.1:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.0:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.0.1:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.1:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.1.1:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.1.2:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.1.3:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.2:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.2.0:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.2.1:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.2.2:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.2.3:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.3:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.3.0:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.3.1:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.3.2:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.3.3:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.3.4:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.3.5:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.3.6:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.3.7:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.4:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.4.0:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.4.1:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.4.2:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.4.3:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.4.4:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.4.5:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.4.6:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.5:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.5.0:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.5.1:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.5.2:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.5.3:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.5.4:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.5.5:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.5.6:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.5.150:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.6:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.6.0:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.6.1:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.6.2:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.6.3:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.6.4:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.6.5:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.6.6:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.6.7:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.6.8:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.6.9:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.6.2150:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.6.6150:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.7:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.7.0:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.7.1:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.7.1:rc1:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.7.2:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.7.2:rc1:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.7.3:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.7.4:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.7.5:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.7.6:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.7.7:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.7.8:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.7.9:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.7.10:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.7.11:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.7.12:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.7.13:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:2.7.14:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.0:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.0.0:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.0.1:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.1:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.1.0:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.1.1:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.1.2:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.1.3:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.1.4:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.1.5:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.1.2150::~~~~x64~:*:*:*:*:*
  • OR cpe:/a:python:python:3.2:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.2:alpha:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.2.0:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.2.1:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.2.2:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.2.3:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.2.4:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.2.5:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.2.6:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.2.2150:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.3:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.3:beta2:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.3.0:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.3.1:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.3.1:rc1:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.3.2:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.3.3:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.3.3:rc1:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.3.3:rc2:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.3.4:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.3.4:rc1:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.3.5:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.3.5:-:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.3.5:rc1:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.3.5:rc2:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.3.6:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.3.6:rc1:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.3.7:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.4:alpha1:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.4.0:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.4.1:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.4.2:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.4.3:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.4.4:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.4.5:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.4.6:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.4.7:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.5.0:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.5.1:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.5.2:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.5.3:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.5.4:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.6.1:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.6.2:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.6.3:*:*:*:*:*:*:*
  • OR cpe:/a:python:python:3.6.4:*:*:*:*:*:*:*

  • * Denotes that component is vulnerable
    Oval Definitions
    Definition IDClassTitleLast Modified
    oval:com.ubuntu.artful:def:20181060000
    V
    CVE-2018-1060 on Ubuntu 17.10 (artful) - low.
    2018-06-18
    oval:com.ubuntu.trusty:def:20181060000
    V
    CVE-2018-1060 on Ubuntu 14.04 LTS (trusty) - low.
    2018-06-18
    oval:com.ubuntu.xenial:def:20181060000
    V
    CVE-2018-1060 on Ubuntu 16.04 LTS (xenial) - low.
    2018-06-18
    BACK
    python python -
    python python 0.9.0
    python python 0.9.1
    python python 1.2
    python python 1.3
    python python 1.5.2
    python python 1.6
    python python 1.6.1
    python python 2.0
    python python 2.0.1
    python python 2.1
    python python 2.1.1
    python python 2.1.2
    python python 2.1.3
    python python 2.2
    python python 2.2.0
    python python 2.2.1
    python python 2.2.2
    python python 2.2.3
    python python 2.3
    python python 2.3.0
    python python 2.3.1
    python python 2.3.2
    python python 2.3.3
    python python 2.3.4
    python python 2.3.5
    python python 2.3.6
    python python 2.3.7
    python python 2.4
    python python 2.4.0
    python python 2.4.1
    python python 2.4.2
    python python 2.4.3
    python python 2.4.4
    python python 2.4.5
    python python 2.4.6
    python python 2.5
    python python 2.5.0
    python python 2.5.1
    python python 2.5.2
    python python 2.5.3
    python python 2.5.4
    python python 2.5.5
    python python 2.5.6
    python python 2.5.150
    python python 2.6
    python python 2.6.0
    python python 2.6.1
    python python 2.6.2
    python python 2.6.3
    python python 2.6.4
    python python 2.6.5
    python python 2.6.6
    python python 2.6.7
    python python 2.6.8
    python python 2.6.9
    python python 2.6.2150
    python python 2.6.6150
    python python 2.7
    python python 2.7.0
    python python 2.7.1
    python python 2.7.1 rc1
    python python 2.7.2
    python python 2.7.2 rc1
    python python 2.7.3
    python python 2.7.4
    python python 2.7.5
    python python 2.7.6
    python python 2.7.7
    python python 2.7.8
    python python 2.7.9
    python python 2.7.10
    python python 2.7.11
    python python 2.7.12
    python python 2.7.13
    python python 2.7.14
    python python 3.0
    python python 3.0.0
    python python 3.0.1
    python python 3.1
    python python 3.1.0
    python python 3.1.1
    python python 3.1.2
    python python 3.1.3
    python python 3.1.4
    python python 3.1.5
    python python 3.1.2150
    python python 3.2
    python python 3.2 alpha
    python python 3.2.0
    python python 3.2.1
    python python 3.2.2
    python python 3.2.3
    python python 3.2.4
    python python 3.2.5
    python python 3.2.6
    python python 3.2.2150
    python python 3.3
    python python 3.3 beta2
    python python 3.3.0
    python python 3.3.1
    python python 3.3.1 rc1
    python python 3.3.2
    python python 3.3.3
    python python 3.3.3 rc1
    python python 3.3.3 rc2
    python python 3.3.4
    python python 3.3.4 rc1
    python python 3.3.5
    python python 3.3.5 -
    python python 3.3.5 rc1
    python python 3.3.5 rc2
    python python 3.3.6
    python python 3.3.6 rc1
    python python 3.3.7
    python python 3.4 alpha1
    python python 3.4.0
    python python 3.4.1
    python python 3.4.2
    python python 3.4.3
    python python 3.4.4
    python python 3.4.5
    python python 3.4.6
    python python 3.4.7
    python python 3.5.0
    python python 3.5.1
    python python 3.5.2
    python python 3.5.3
    python python 3.5.4
    python python 3.6.1
    python python 3.6.2
    python python 3.6.3
    python python 3.6.4