注意: 虽然 JavaScript 对于本网站不是必需的,但您与内容的互动将受到限制。请启用 JavaScript 以获得完整体验。

Python 3.10.15

发布日期: 2024 年 9 月 7 日

这是 Python 3.10 的一个安全版本

注意: 您正在查看的版本是 Python 3.10.15,这是针对旧版 3.10 系列的安全漏洞修复版本Python 3.12 现在是 Python 3 的最新功能发布系列。 在此处获取 3.12.x 的最新版本

此版本中的安全内容

  • gh-123678gh-116741: 将捆绑的 libexpat 升级到 2.6.3 以修复 CVE-2024-28757, CVE-2024-45490, CVE-2024-45491CVE-2024-45492.
  • gh-118486: Windows 上的 os.mkdir() 现在接受 0o700mode,以将新目录限制为当前用户。这修复了影响 tempfile.mkdtemp() 的 CVE-2024-4030,在基本临时目录比默认目录更宽松的情况下。
  • gh-123067: 通过 http.cookies 修复解析带有反斜杠的 " 引号 cookie 值时的二次复杂度。修复了 CVE-2024-7592。
  • gh-113171: 修复了 IPv4Address.is_private、IPv4Address.is_global、IPv6Address.is_private、IPv6Address.is_global 中的各种误报和漏报。修复了 CVE-2024-4032。
  • gh-67693: 修复了 urllib.parse.urlunparse()urllib.parse.urlunsplit() 对于路径以多个斜杠开头且没有 authority 的 URI。修复了 CVE-2015-2104。
  • gh-121957: 修复了围绕 Python 交互使用的缺失的审计事件,现在也正确触发了 python -i 以及 python -m asyncio。相关事件是 cpython.run_stdin
  • gh-122133: 在像 Windows 这样 AF_UNIX 不可用的平台上,对 socket.socketpair() 回退的套接字连接进行身份验证。
  • gh-121285: 从 tarfile 头部解析中删除 hdrcharset、PAX 和 GNU 稀疏头部中的回溯。这是 CVE-2024-6232。
  • gh-114572: ssl.SSLContext.cert_store_stats()ssl.SSLContext.get_ca_certs() 现在在 ssl.SSLContext 在多个线程之间共享时,正确锁定对证书存储的访问。
  • gh-102988: email.utils.getaddresses()email.utils.parseaddr() 现在在遇到无效电子邮件地址时,在更多情况下返回 ('', '') 的 2 元组,而不是返回可能不准确的值。向这两个函数添加可选的 strict 参数:使用 strict=False 获取旧的行为,接受格式错误的输入。可以使用 getattr(email.utils, 'supports_strict_parsing', False) 来检查 strict 参数是否可用。这改进了 CVE-2023-27043 的修复。
  • gh-123270: 在 zipfile.Path 中清理名称以避免无限循环 (gh-122905),而不会破坏使用合法字符的内容。这是 CVE-2024-8088。
  • gh-121650: 现在输出时,带有嵌入换行符的 email 头部会被引用。generator 现在会拒绝序列化(写入)不安全折叠或分隔的头部;请参阅 verify_generated_headers。这是 CVE-2024-6923。
  • gh-119690: 修复了由 _winapi.CreateFile_winapi.CreateNamedPipe 引发的审计事件中的数据类型混淆。
  • gh-116773: 修复了 <_overlapped.Overlapped object at 0xXXX> 仍然在释放时有挂起的操作,进程可能会崩溃 的实例。
  • gh-112275: 现在修复了在 posixmodule.c 的 fork 处涉及 pystate.cHEAD_LOCK 的死锁。

没有安装程序

根据 PEP 619 中指定的发布日历,Python 3.10 现在处于其生命周期的“仅安全修复”阶段:3.10 分支仅接受安全修复,并且这些修复仅以源代码形式不定期发布,直到 2026 年 10 月。Python 3.10 不再接收常规错误修复,并且不再为其提供二进制安装程序。Python 3.10.11 是带有二进制安装程序的 Python 3.10 的最后一个完整的错误修复版本

完整更改日志

文件

版本 操作系统 描述 MD5 校验和 文件大小 GPG Sigstore
Gzip 压缩的源代码 tarball 源代码版本 b6a2b570ea75ef55f50bfe79d778eb01 24.7 MB SIG .sigstore
XZ 压缩的源代码 tarball 源代码版本 8b1faa1b193e4e90c0f17eb2decd89b5 18.7 MB SIG .sigstore