Python 3.11.14
发布日期: 2025年10月9日
这是 Python 3.11 的一个安全修复版本
注意:您正在查看的是 Python 3.11.14,这是旧版 3.11 系列的安全漏洞修复版本。Python 3.14 现在是 Python 3 的最新功能发布系列。请在此处获取 3.14.x 的最新版本。
此版本中的安全内容
XML 相关
- gh-139312:将绑定的 libexpat 库升级至 2.7.3,以修复 CVE-2025-59375
- gh-139400:
xml.parsers.expat:确保父 Expat 解析器只有在不再被ExternalEntityParserCreate()创建的子解析器引用时,才会被垃圾回收。
归档相关
- gh-130577:
tarfile现在会验证归档文件,以确保成员偏移量为非负数。 - gh-139700:现在会检查 zip64 中央目录记录末端的一致性。如果 ZIP 文件前没有前缀字节,则增加了对带有“zip64 可扩展数据”记录的支持。
HTML 解析相关
- gh-135661:根据 HTML5 标准,修复了
html.parser.HTMLParser中对开始和结束标签的解析。 - 不再接受在
</和标签名之间存在空白字符。例如:</ script>不会结束脚本区域。 - 垂直制表符 (
\v) 和非 ASCII 空白字符不再被识别为空白。唯一的空白字符是\t\n\r\f和空格。 - 空字符 (U+0000) 不再结束标签名。
- 结束标签中标签名后的属性和斜杠现在将被忽略,而不是在带引号的属性值中第一个
>后终止。例如:</script/foo=">"/>。 - 在起始标签和结束标签中,最后一个属性与闭合的
>之间的多个斜杠和空白字符现在将被忽略。例如:<a foo=bar/ //>。 - 属性名和值之间的多个
=不再被合并。例如:<a foo==bar>会产生一个值为“=bar”的“foo”属性。 - gh-135661:根据 HTML5 标准,修复了
html.parser.HTMLParser中 CDATA 部分的解析:] ]>和]] >不再结束 CDATA 部分。添加了私有方法_set_support_cdata(),可用于指定如何解析<[CDATA[——是作为外来内容(SVG 或 MathML)中的 CDATA 部分,还是作为 HTML 命名空间中的无效注释。 - gh-102555:根据 HTML5 标准,修复了
html.parser.HTMLParser中的注释解析。--!>现在会结束注释。-- >不再结束注释。支持异常结束的空注释<-->和<--->。 - gh-135462:修复了在
html.parser.HTMLParser中处理特殊构造的输入时出现的二次复杂度问题。现在会根据 HTML5 规范处理文件结束错误——注释和声明会自动闭合,标签则被忽略。 - gh-118350:修复了
html.parser.HTMLParser对可转义原始文本模式(“textarea”和“title”元素)的支持。 - gh-86155:
html.parser.HTMLParser.close()在<script>标签未闭合时不再丢失数据。
ensurepip 的 setuptools 相关
- gh-135374:将捆绑的 setuptools 副本更新至 79.0.1,以修复 CVE-2025-47273 和 CVE-2024-6345。
无安装程序
根据 PEP 664 中规定的发布日程,Python 3.11 现在处于其生命周期的“仅安全修复”阶段:3.11 分支只接受安全修复,并且这些修复将以不定期、仅源码的形式发布,直到 2027 年 10 月。Python 3.11 不再接收常规的错误修复,也不再为其提供二进制安装包。Python 3.11.9 是 Python 3.11 最后一个提供二进制安装包的完整错误修复版本。
文件
| 版本 | 操作系统 | 描述 | MD5 校验和 | 文件大小 | Sigstore | GPG | |
|---|---|---|---|---|---|---|---|
| Gzip 压缩的源码包 | 源码发布版 | 4ea22126e372171c43ba552800629775 | 25.3 MB | .sigstore | SIG | ||
| XZ 压缩的源码包 | 源码发布版 | 2f7d50f6e41d61607022dfeb7741df3a | 19.4 MB | .sigstore | SIG | ||