发布日期： 2023年6月6日

这是 Python 3.7 的一个安全版本

注意：您正在查看的版本是 Python 3.7.17，这是旧版 3.7 系列的最后一个安全修复版本。该系列现已停止维护，不再受支持。请参阅下载页面以获取当前受支持的 Python 版本。

此版本中的安全内容

• gh-103142：Windows 和 Mac 安装程序中使用的 OpenSSL 版本已升级至 1.1.1u，以解决 CVE-2023-2650、CVE-2023-0465、CVE-2023-0466、CVE-2023-0464，以及先前在 1.1.1t 版本中已修复的 CVE-2023-0286、CVE-2022-4303 和 CVE-2022-4303 (gh-101727)。
• gh-102153：为应对 CVE-2023-24329，urllib.parse.urlsplit() 现在会根据 WHATWG 定义的 URL 规范，移除开头的 C0 控制字符和空格字符。
• gh-99889：修复了 uu.decode() 中的一个安全漏洞。在未指定 out_file 的情况下，该漏洞可能允许基于输入的目录遍历。
• gh-104049：由 http.client.SimpleHTTPRequestHandler 生成的目录索引中，不再暴露本地磁盘位置。
• gh-101283：现在，当使用 shell=True 启动时，subprocess.Popen 会使用更安全的方法来查找 cmd.exe。

无安装程序

根据 PEP 537 中规定的发布日程，Python 3.7 现在处于其生命周期的“仅安全修复”阶段：3.7 分支只接受安全修复，并且这些修复将以仅源码形式不定期发布，直到 2023 年 6 月。Python 3.7 不再接收常规错误修复，也不再为其提供二进制安装程序。Python 3.7.9 是 Python 3.7 的最后一个包含二进制安装程序的完整错误修复版本。

完整更新日志