发布日期： 2023年6月6日

这是 Python 3.8 的一个安全版本

注意： 您正在查看的版本是 Python 3.8.17，这是旧版 3.8 系列的安全修复版本。Python 3.11 是目前 Python 3 最新的功能发布系列。请在此处获取 3.11.x 的最新版本。

此版本中的安全内容

• gh-103142：Windows 和 Mac 安装程序中使用的 OpenSSL 版本已升级至 1.1.1u，以解决 CVE-2023-2650、CVE-2023-0465、CVE-2023-0466、CVE-2023-0464，以及先前在 1.1.1t 版本中已修复的 CVE-2023-0286、CVE-2022-4303 和 CVE-2022-4303 (gh-101727)。
• gh-102153：为应对 CVE-2023-24329，urllib.parse.urlsplit() 现在会根据 WHATWG 定义的 URL 规范，移除开头的 C0 控制字符和空格字符。
• gh-99889：修复了 uu.decode() 中的一个安全漏洞，该漏洞在未指定 out_file 的情况下，可能允许基于输入内容进行目录遍历。
• gh-104049：由 http.client.SimpleHTTPRequestHandler 生成的目录索引中，不再暴露本地磁盘位置。
• gh-103935：现在 trace.__main__ 对待执行的文件使用 io.open_code()，而非原始的 open()。
• gh-101283：现在，当使用 shell=True 启动时，subprocess.Popen 会使用更安全的方法来查找 cmd.exe。
• gh-102953：tarfile 中的提取方法以及 shutil.unpack_archive() 新增了一个 filter 参数，该参数允许限制可能存在意外或危险的 tar 功能，例如在目标目录之外创建文件。详情请参阅提取过滤器。

无安装程序

根据 PEP 569 中规定的发布日程，Python 3.8 目前处于其生命周期的“仅安全修复”阶段：3.8 分支只接受安全修复，并且这些修复将以不定期、仅源码的形式发布，直到2024年10月。Python 3.8 不再接收常规的错误修复，也不再为其提供二进制安装程序。Python 3.8.10 是 Python 3.8 最后一个提供二进制安装程序的完整错误修复版本。

完整更新日志