Python 3.11.4、3.10.12、3.9.17、3.8.17、3.7.17 和 3.12.0 beta 2 现已可用。3.10 在此次加入了久负盛名的纯安全版本系列;同时,3.7 的生命周期即将结束。除非 6 月发布另一个安全版本,否则 3.7.17 将是 Python 3.7 的最终版本。
安全修复程序
- 3.7 - 3.12:gh-103142:Windows 和 Mac 安装程序中使用的 OpenSSL 版本已升级到 1.1.1u 以解决 CVE-2023-2650、CVE-2023-0465、CVE-2023-0466、CVE-2023-0464 ,以及之前在 1.1.1t (gh-101727) 中修复的 CVE-2023-0286、CVE-2022-4303 和 CVE-2022-4303。
- 3.7 - 3.11:gh-102153:
urllib.parse.urlsplit()
现在根据 WHATWG 为响应 CVE-2023-24329 定义的 URL 规范去除前导 C0 控制和空格字符。 - 3.7 - 3.11:gh-99889:修复了
uu.decode()
中的一个安全缺陷,如果没有指定out_file
,可能允许基于输入的目录遍历。 - 3.7 - 3.11:gh-104049:在
http.client.SimpleHTTPRequestHandler
产生的目录索引中不要暴露本地磁盘的位置。 - 3.7 - 3.11:gh-101283:
subprocess.Popen
在以shell=True
启动时,使用更安全的方法来查找cmd.exe
。 - 3.8 - 3.11:gh-103935:
trace.__main__
现在要对执行文件使用io.open_code()
而不是 rawopen()
。 - 3.8 - 3.11:gh-102953
tarfile
和shutil.unpack_archive()
中的提取方法有一个新filter
参数,允许限制可能令人惊讶或危险的tar
功能,例如在目标目录外创建文件。详见 Extraction filters 。 - 3.9:gh-102126:如果任何 finalizer 试图获取 runtime head lock,则在清除线程状态时修复关闭时的死锁。
- 3.9:gh-100892:修复了在清除
threading.local
中迭代线程状态时由于 race 导致的崩溃。
Python 3.12.0 beta 2
在这里获取:3.12.0b2
自 3.12.0 beta 1 以来有 116 个新提交。
Python 3.11.4
在这里获取:3.11.4
233 个新提交。
Python 3.10.12
在这里获取:3.10.12
没有二进制文件的仅安全版本。20 个新提交。
Python 3.9.17
在这里获取:3.9.17
没有二进制文件的仅安全版本。26 次提交。
Python 3.8.17
在这里获取:3.8.17
没有二进制文件的仅安全版本。24 次提交。
Python 3.7.17
在这里获取它,可能是3.7 的最后一个版本:3.7.17
没有二进制文件的仅安全版本。21 次提交。
更多详情可查看发布公告。