Python 3.8.17
发布日期: 2023 年 6 月 6 日
这是一个 Python 3.8 的安全版本
注意:您正在查看的版本是 Python 3.8.17,这是一个针对旧版 3.8 系列的安全漏洞修复版本。Python 3.11 现在是 Python 3 的最新功能发布系列。在此获取 3.11.x 的最新版本。
此版本中的安全内容
- gh-103142:Windows 和 Mac 安装程序中使用的 OpenSSL 版本已升级到 1.1.1u,以解决 CVE-2023-2650、CVE-2023-0465、CVE-2023-0466、CVE-2023-0464 以及 CVE-2023-0286、CVE-2022-4303 和先前在 1.1.1t 中修复的 CVE-2022-4303 (gh-101727)。
- gh-102153:
urllib.parse.urlsplit()现在根据 WHATWG 定义的 URL 规范,剥离前导 C0 控制字符和空格字符,以响应 CVE-2023-24329。 - gh-99889:修复了
uu.decode()中的一个安全漏洞,该漏洞可能允许在未指定out_file的情况下,根据输入进行目录遍历。 - gh-104049:不要在
http.client.SimpleHTTPRequestHandler生成的目录索引中暴露本地磁盘位置。 - gh-103935:
trace.__main__现在对要执行的文件使用io.open_code()而不是原始的open()。 - gh-101283:
subprocess.Popen现在使用更安全的方法来查找cmd.exe,以便在使用shell=True启动时使用。 - gh-102953:
tarfile和shutil.unpack_archive()中的提取方法具有新的filter参数,允许限制可能令人惊讶或危险的tar功能,例如在目标目录之外创建文件。有关详细信息,请参阅提取过滤器。
无安装程序
根据 PEP 569 中指定的发布日历,Python 3.8 现在处于其生命周期的“仅安全修复”阶段:3.8 分支仅接受安全修复,并且这些修复的发布以仅源代码形式不定期进行,直到 2024 年 10 月。Python 3.8 不再接收常规错误修复,并且不再为其提供二进制安装程序。Python 3.8.10 是 Python 3.8 最后一个带有二进制安装程序的完整错误修复版本。
文件
| 版本 | 操作系统 | 描述 | MD5 校验和 | 文件大小 | GPG | Sigstore | |
|---|---|---|---|---|---|---|---|
| Gzip 压缩的源代码 tarball | 源代码发布 | d3e789ab828016927a122a0ae9b0e6b0 | 26.1 MB | SIG | .sigstore | ||
| XZ 压缩的源代码 tarball | 源代码发布 | 70223497e664524303ca2364208647e1 | 19.7 MB | SIG | .sigstore | ||