cpe:/a:python:python:2.7.11 cpe:/a:python:python:3.0 cpe:/a:python:python:3.0.1 cpe:/a:python:python:3.1.0 cpe:/a:python:python:3.1.1 cpe:/a:python:python:3.1.2 cpe:/a:python:python:3.1.3 cpe:/a:python:python:3.1.4 cpe:/a:python:python:3.1.5 cpe:/a:python:python:3.2.0 cpe:/a:python:python:3.2.1 cpe:/a:python:python:3.2.2 cpe:/a:python:python:3.2.3 cpe:/a:python:python:3.2.4 cpe:/a:python:python:3.2.5 cpe:/a:python:python:3.2.6 cpe:/a:python:python:3.3.0 cpe:/a:python:python:3.3.1 cpe:/a:python:python:3.3.2 cpe:/a:python:python:3.3.3 cpe:/a:python:python:3.3.4 cpe:/a:python:python:3.3.5 cpe:/a:python:python:3.3.6 cpe:/a:python:python:3.4.0 cpe:/a:python:python:3.4.1 cpe:/a:python:python:3.4.2 cpe:/a:python:python:3.4.3 cpe:/a:python:python:3.4.4 cpe:/a:python:python:3.5.0 cpe:/a:python:python:3.5.1 CVE-2016-0772 2016-09-02T10:59:00.127-04:00 2019-02-09T06:29:00.307-05:00 5.8 NETWORK MEDIUM NONE PARTIAL PARTIAL NONE http://nvd.nist.gov 2016-09-02T14:52:00.157-04:00 BID 91225 GENTOO GLSA-201701-18 REDHAT RHSA-2016:1626 REDHAT RHSA-2016:1627 REDHAT RHSA-2016:1628 REDHAT RHSA-2016:1629 REDHAT RHSA-2016:1630 MLIST [debian-lts-announce] 20190207 [SECURITY] [DLA 1663-1] python3.4 security update MLIST [oss-security] 20160614 Python CVE-2016-0772: smtplib StartTLS stripping attack CONFIRM http://www.splunk.com/view/SP-CAAAPSV CONFIRM http://www.splunk.com/view/SP-CAAAPUE CONFIRM https://bugzilla.redhat.com/show_bug.cgi?id=1303647 CONFIRM https://docs.python.org/3.4/whatsnew/changelog.html#python-3-4-5 CONFIRM https://docs.python.org/3.5/whatsnew/changelog.html#python-3-5-2 CONFIRM https://hg.python.org/cpython/raw-file/v2.7.12/Misc/NEWS CONFIRM https://hg.python.org/cpython/rev/b3ce713fb9be CONFIRM https://hg.python.org/cpython/rev/d590114c2394 The smtplib library in CPython (aka Python) before 2.7.12, 3.x before 3.4.5, and 3.5.x before 3.5.2 does not return an error when StartTLS fails, which might allow man-in-the-middle attackers to bypass the TLS protections by leveraging a network position between the client and the registry to block the StartTLS command, aka a "StartTLS stripping attack."