注意:虽然 JavaScript 对本网站不是必需的,但您与内容的互动将会受到限制。请启用 JavaScript 以获得完整体验。

Python 3.11.10

发布日期:2024 年 9 月 7 日

这是 Python 3.11 的安全版本

注意:您正在查看的版本是 Python 3.11.10,它是旧版 3.11 系列的安全错误修复版本Python 3.12 现在是 Python 3 的最新功能发布系列。在此处获取 3.12.x 的最新版本

此版本中的安全内容

  • gh-123678gh-116741:将捆绑的 libexpat 升级到 2.6.3,以修复 CVE-2024-28757CVE-2024-45490CVE-2024-45491CVE-2024-45492
  • gh-118486:Windows 上的 os.mkdir() 现在接受 0o700mode 来将新目录限制为当前用户。这修复了 CVE-2024-4030,该漏洞影响 tempfile.mkdtemp(),在基本临时目录比默认目录更宽松的情况下。
  • gh-123067:通过 http.cookies 修复了解析带有反斜杠的 " 引号 cookie 值时的二次复杂度。修复了 CVE-2024-7592。
  • gh-113171:修复了 IPv4Address.is_private、IPv4Address.is_global、IPv6Address.is_private、IPv6Address.is_global 中的各种误报和漏报。修复了 CVE-2024-4032。
  • gh-67693:修复了 urllib.parse.urlunparse()urllib.parse.urlunsplit() 对于路径以多个斜杠开头且没有 authority 的 URI 的问题。修复了 CVE-2015-2104。
  • gh-121957:修复了 Python 交互式使用时缺少审核事件的问题,现在对于 python -i 以及 python -m asyncio 也能正确触发。相关事件是 cpython.run_stdin
  • gh-122133:在像 Windows 这样没有 AF_UNIX 可用的平台上,对 socket.socketpair() 回退的套接字连接进行身份验证。
  • gh-121285:从 tarfile 标头解析中删除 hdrcharset、PAX 和 GNU 稀疏标头中的回溯。这是 CVE-2024-6232。
  • gh-114572ssl.SSLContext.cert_store_stats()ssl.SSLContext.get_ca_certs() 现在在 ssl.SSLContext 在多个线程之间共享时,正确锁定对证书存储的访问。
  • gh-102988email.utils.getaddresses()email.utils.parseaddr() 现在在遇到无效电子邮件地址时,在更多情况下返回 ('', '') 2 元组,而不是潜在的不准确值。为这两个函数添加可选的 strict 参数:使用 strict=False 获取旧的行为,接受格式错误的输入。可以使用 getattr(email.utils, 'supports_strict_parsing', False) 来检查是否提供了 strict 参数。这改进了 CVE-2023-27043 的修复。
  • gh-123270:清理 zipfile.Path 中的名称,以避免无限循环(gh-122905),而不会破坏使用合法字符的内容。这是 CVE-2024-8088。
  • gh-121650:现在,输出时会引用带有嵌入换行符的 email 标头。现在,generator 将拒绝序列化(写入)不安全折叠或分隔的标头;请参阅 verify_generated_headers。这是 CVE-2024-6923。
  • gh-119690:修复了 _winapi.CreateFile_winapi.CreateNamedPipe 引发的审核事件中的数据类型混淆问题。
  • gh-116773:修复了 <_overlapped.Overlapped object at 0xXXX> still has pending operation at deallocation, the process may crash 的实例。
  • gh-112275:现在修复了在 fork 时涉及 posixmodule.cpystate.cHEAD_LOCK 的死锁问题。

没有安装程序

根据 PEP 664 中指定的发布日历,Python 3.11 现在处于其生命周期的“仅安全修复”阶段:3.11 分支仅接受安全修复,并且这些修复版本的发布不定期,仅以源代码形式发布,直到 2027 年 10 月。Python 3.11 不再接收常规错误修复,也不再为其提供二进制安装程序。Python 3.11.9 是最后一个带有二进制安装程序的 Python 3.11 完整错误修复版本

完整更新日志

文件

版本 操作系统 描述 MD5 校验和 文件大小 GPG Sigstore
Gzip 压缩的源代码 tarball 源代码发布 35c36069a43dd57a7e9915deba0f864e 25.3 MB SIG .sigstore
XZ 压缩的源代码 tarball 源代码发布 af59e243df4c7019f941ae51891c10bc 19.1 MB SIG .sigstore