Python 3.7.16
发布日期: 2022 年 12 月 6 日
这是 Python 3.7 的安全版本
注意: 您正在查看的版本是针对已达到生命周期结束且不再受支持的旧版 3.7 系列的安全漏洞修复版本。请参阅下载页面了解当前支持的 Python 版本。3.7 的最后一个安全漏洞修复版本是3.7.17。
此版本中的安全内容
- gh-98739: 更新了捆绑的 libexpat 至 2.5.0 以修复 CVE-2022-43680(堆使用后释放)。
- gh-98517: 移植 XKCP 对 SHA-3 中缓冲区溢出的修复,以修复 CVE-2022-37454。
- gh-98433:
socket或asyncio相关名称解析函数在 DNS 主机名上使用的 IDNA 编解码器解码器不再涉及二次算法来修复 CVE-2022-45061。这可以防止在解码涉及双向字符的超出规范的过长主机名时可能出现的 CPU 拒绝服务。某些协议(如urllibhttp 3xx 重定向)可能允许攻击者提供此类名称。 - gh-68966: 已弃用的 mailcap 模块现在拒绝将不安全的文本(文件名、MIME 类型、参数)注入到 shell 命令中,以解决 CVE-2015-20107。它将警告而不是使用此类文本,并表现得好像没有找到匹配项(或者对于测试命令,好像测试失败了)。
- gh-100001:
python -m http.server不再允许将垃圾请求中发送的终端控制字符打印到 stderr 服务器日志。
没有安装程序
根据 PEP 537 中指定的发布日历,Python 3.7 现在处于其生命周期的“仅安全修复”阶段:3.7 分支仅接受安全修复,并且这些修复版本将不定期以仅源代码形式发布,直到 2023 年 6 月。Python 3.7 不再接收常规错误修复,并且不再为其提供二进制安装程序。Python 3.7.9 是最后一个带有二进制安装程序的完整 错误修复版本。
文件
| 版本 | 操作系统 | 描述 | MD5 校验和 | 文件大小 | GPG | Sigstore | |
|---|---|---|---|---|---|---|---|
| Gzipped 源代码 tarball | 源代码发布 | f21656b51c9907fc6993b64ef216d994 | 23.0 MB | SIG | .sigstore | ||
| XZ 压缩源代码 tarball | 源代码发布 | df3b8ad6e2ab8f198d65ecf68816bf42 | 17.3 MB | SIG | .sigstore | ||