漏洞标题
N/A
漏洞描述信息
在CPython(aka Python)2.7.12之前、3.x版本在3.4.5之前和3.5.x版本在3.5.2之前,smtplib库在启动TLS时不会返回错误,这可能允许中间人攻击者通过利用客户端和注册表之间的网络位置来阻止启动TLS命令,从而绕过TLS保护,这被称为“启动TLS削减攻击”。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The smtplib library in CPython (aka Python) before 2.7.12, 3.x before 3.4.5, and 3.5.x before 3.5.2 does not return an error when StartTLS fails, which might allow man-in-the-middle attackers to bypass the TLS protections by leveraging a network position between the client and the registry to block the StartTLS command, aka a "StartTLS stripping attack."
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Python 安全漏洞
漏洞描述信息
Python是Python软件基金会的一套开源的、面向对象的程序设计语言,该语言具有可扩展、支持模块和包、支持多种平台等特点。CPython(又名Python)是一款用C语言实现的Python解释器。 Python中的smtplib library中存在安全漏洞,该漏洞源于StartTLS失败时,程序没有返回错误消息。攻击者可利用该漏洞实现中间人攻击,绕过TLS保护。以下版本受到影响:Python 2.7.12版本,3.4.5之前的3.x版本,3.5.2之前的3.5.x版本。
CVSS信息
N/A
漏洞类别
授权问题