发布日期： 2024年3月19日

这是 Python 3.8 的一个安全版本

请注意：您正在查看的 Python 3.8.19 版本，是旧版 3.8 系列的一个安全漏洞修复版本。目前，Python 3.12 是 Python 3 最新的功能发布系列。在此获取 3.12.x 的最新版本。

此版本中的安全内容

• gh-115399 和 gh-115398：为解决 CVE-2023-52425，捆绑的 libexpat 已更新至 2.6.0，并通过新的 API 开放了对新的重新解析延迟功能的控制。
• gh-109858：为解决 CVE-2024-0450，zipfile 模块现已能抵御“引用重叠”类型的 zip 炸弹攻击。现在，当尝试读取与另一个条目或中央目录重叠的条目时，它会引发 BadZipFile 异常。
• gh-91133：为解决 CVE-2023-6597，tempfile.TemporaryDirectory 在清理过程中为绕过文件系统权限错误时，将不再解引用符号链接。
• gh-115197：在 macOS 和 Windows 上，urllib.request 在将主机名与系统的代理绕过列表进行检查之前，将不再解析该主机名。
• gh-81194：修复了 socket.if_indextoname() 在特定值（UINT_MAX）下崩溃的问题。与此相关，修复了在 64 位非 Windows 平台上 socket.if_indextoname() 中的一个整数溢出问题。
• gh-113659：现在会跳过名称以点开头或包含隐藏文件属性的 .pth 文件。
• gh-102388：iso2022_jp_3 和 iso2022_jp_2004 编解码器不再会越界读取。

无安装程序

根据 PEP 569 中规定的发布日程，Python 3.8 目前处于其生命周期的“仅安全修复”阶段：3.8 分支只接受安全修复，并且这些修复将以不定期、仅源码的形式发布，直到2024年10月。Python 3.8 不再接收常规的错误修复，也不再为其提供二进制安装程序。Python 3.8.10 是 Python 3.8 最后一个提供二进制安装程序的完整错误修复版本。

完整更新日志