发布日期： 2023年6月6日

这是 Python 3.10 的一个安全版本

注意： 您正在查看的是 Python 3.10.12，这是旧版 3.10 系列的安全修复版本。Python 3.11 现在是 Python 3 最新的功能发布系列。请在此处获取 3.11.x 的最新版本。

此版本中的安全内容

• gh-103142：Windows 和 Mac 安装程序中使用的 OpenSSL 版本已升级至 1.1.1u，以解决 CVE-2023-2650、CVE-2023-0465、CVE-2023-0466、CVE-2023-0464，以及先前在 1.1.1t 版本中已修复的 CVE-2023-0286、CVE-2022-4303 和 CVE-2022-4303 (gh-101727)。
• gh-102153：为应对 CVE-2023-24329，urllib.parse.urlsplit() 现在会根据 WHATWG 定义的 URL 规范，移除开头的 C0 控制字符和空格字符。
• gh-99889：修复了 uu.decode() 中的一个安全漏洞，该漏洞在未指定 out_file 的情况下，可能允许基于输入内容进行目录遍历。
• gh-104049：由 http.client.SimpleHTTPRequestHandler 生成的目录索引中，不再暴露本地磁盘位置。
• gh-103935：现在 trace.__main__ 对待执行的文件使用 io.open_code()，而非原始的 open()。
• gh-102953：tarfile 中的提取方法以及 shutil.unpack_archive() 新增了一个 filter 参数，用以限制可能存在意外或危险的 tar 功能，例如在目标目录之外创建文件。详情请参阅提取过滤器。

无安装程序

根据 PEP 619 中规定的发布日程，Python 3.10 目前处于其生命周期中的“仅安全修复”阶段：3.10 分支只接受安全修复，并且这些修复将以仅源码形式不定期发布，直到 2026 年 10 月。Python 3.10 不再接收常规的错误修复，也不再为其提供二进制安装程序。Python 3.10.11 是 Python 3.10 最后一个提供二进制安装程序的完整错误修复版本。

完整更新日志