发布日期： 2022年12月6日

这是 Python 3.8 的一个安全版本

注意：您正在查看的是 Python 3.8.16，这是旧版 3.8 系列的安全修复版本。Python 3.11 现在是 Python 3 的最新功能发布系列。在此处获取 3.11.x 的最新版本。

此版本中的安全内容

• gh-98739：将捆绑的 libexpat 更新至 2.5.0，以修复 CVE-2022-43680（堆用后释放漏洞）。
• gh-98517：移植 XKCP 对 SHA-3 中缓冲区溢出的修复，以修复 CVE-2022-37454。
• gh-98433：socket 或 asyncio 相关名称解析函数用于 DNS 主机名的 IDNA 编解码器不再涉及二次方算法，以修复 CVE-2022-45061。这可以防止在解码包含双向字符的超长不规范主机名时，可能导致的 CPU 拒绝服务攻击。某些协议（例如 urllib 的 http 3xx 重定向）可能会允许攻击者提供此类名称。
• gh-68966：已弃用的 mailcap 模块现在拒绝将不安全的文本（文件名、MIME 类型、参数）注入 shell 命令中，以解决 CVE-2015-20107。它将不再使用此类文本，而是发出警告并表现得如同未找到匹配项一样（对于测试命令，则如同测试失败一样）。
• gh-100001：python -m http.server 不再允许在垃圾请求中发送的终端控制字符被打印到 stderr 服务器日志中。
• gh-87604：避免通过 gc 模块发布每个解释器的活动审计钩子列表。

无安装程序

根据 PEP 569 中规定的发布日程，Python 3.8 目前处于其生命周期的“仅安全修复”阶段：3.8 分支只接受安全修复，并且这些修复将以不定期、仅源码的形式发布，直到2024年10月。Python 3.8 不再接收常规的错误修复，也不再为其提供二进制安装程序。Python 3.8.10 是 Python 3.8 最后一个提供二进制安装程序的完整错误修复版本。

完整更新日志