发布日期： 2022年12月6日

这是 Python 3.7 的一个安全版本

注意：您正在查看的这个版本是旧版 3.7 系列的安全漏洞修复版本，该系列现已停止维护，不再受支持。请访问下载页面查看当前受支持的 Python 版本。3.7 的最后一个安全漏洞修复版本是 3.7.17。

此版本中的安全内容

• gh-98739：将捆绑的 libexpat 更新至 2.5.0，以修复 CVE-2022-43680（堆用后释放漏洞）。
• gh-98517：移植 XKCP 对 SHA-3 中缓冲区溢出的修复，以修复 CVE-2022-37454。
• gh-98433：socket 或 asyncio 相关名称解析函数用于 DNS 主机名的 IDNA 编解码器不再涉及二次方算法，以修复 CVE-2022-45061。这可以防止在解码包含双向字符的超长不规范主机名时，可能导致的 CPU 拒绝服务攻击。某些协议（例如 urllib 的 http 3xx 重定向）可能会允许攻击者提供此类名称。
• gh-68966：已弃用的 mailcap 模块现在拒绝将不安全的文本（文件名、MIME 类型、参数）注入 shell 命令中，以解决 CVE-2015-20107。它将不再使用此类文本，而是发出警告并表现得如同未找到匹配项一样（对于测试命令，则如同测试失败一样）。
• gh-100001：python -m http.server 不再允许在垃圾请求中发送的终端控制字符被打印到 stderr 服务器日志中。

无安装程序

根据 PEP 537 中指定的发布日程，Python 3.7 目前处于其生命周期的“仅安全修复”阶段：3.7 分支只接受安全修复，并且这些修复版本会以仅源码的形式不定期发布，直到 2023 年 6 月。Python 3.7 不再接收常规的漏洞修复，也不再为其提供二进制安装包。Python 3.7.9 是 Python 3.7 最后一个提供二进制安装包的完整漏洞修复版本。

完整更新日志