Python 3.8.16
发布日期: 2022 年 12 月 6 日
这是 Python 3.8 的安全版本
注意: 您正在查看的版本是 Python 3.8.16,这是针对旧版 3.8 系列的安全漏洞修复版本。Python 3.11 现在是 Python 3 的最新功能发布系列。 在此处获取 3.11.x 的最新版本。
此版本中的安全内容
- gh-98739: 更新了捆绑的 libexpat 到 2.5.0 以修复 CVE-2022-43680(堆内存释放后使用)。
- gh-98517: 移植了 XKCP 对 SHA-3 中缓冲区溢出的修复,以修复 CVE-2022-37454。
- gh-98433:
socket或asyncio相关名称解析函数在 DNS 主机名上使用的 IDNA 编解码器解码器不再涉及二次算法来修复 CVE-2022-45061。这可以防止在解码涉及双向字符的超出规格的过长主机名时出现潜在的 CPU 拒绝服务。某些协议(如urllibhttp 3xx 重定向)可能会允许攻击者提供这样的名称。 - gh-68966: 已弃用的 mailcap 模块现在拒绝将不安全的文本(文件名、MIME 类型、参数)注入到 shell 命令中,以解决 CVE-2015-20107。它不会使用此类文本,而是会发出警告,并表现得好像没有找到匹配项(或者对于测试命令,表现得好像测试失败)。
- gh-100001:
python -m http.server不再允许将垃圾请求中发送的终端控制字符打印到 stderr 服务器日志中。 - gh-87604: 避免通过
gc模块发布每个解释器活动的审计挂钩列表。
没有安装程序
根据 PEP 569 中指定的发布日历,Python 3.8 现在处于其生命周期的“仅安全修复”阶段:3.8 分支仅接受安全修复,并且这些修复以仅源代码形式不定期发布,直到 2024 年 10 月。Python 3.8 不再接收常规错误修复,并且不再为其提供二进制安装程序。Python 3.8.10 是带有二进制安装程序的 Python 3.8 的最后一个完整错误修复版本。
文件
| 版本 | 操作系统 | 描述 | MD5 校验和 | 文件大小 | GPG | Sigstore | |
|---|---|---|---|---|---|---|---|
| Gzipped 源代码 tarball | 源代码发布 | 060040f864f1003b849b33393c9605df | 24.1 MB | SIG | .sigstore | ||
| XZ 压缩源代码 tarball | 源代码发布 | 621ac153586a3152e2ab7d3a8614df9a | 18.2 MB | SIG | .sigstore | ||