Python 3.9.17
发布日期: 2023 年 6 月 6 日
这是一个 Python 3.9 的安全版本
注意: 您正在查看的版本是 Python 3.9.17,这是针对旧版 3.9 系列的安全漏洞修复版本。Python 3.11 现在是 Python 3 的最新功能发布系列。在此处获取 3.11.x 的最新版本。
此版本中的安全内容
- gh-103142: Windows 和 Mac 安装程序中使用的 OpenSSL 版本已升级到 1.1.1u,以解决 CVE-2023-2650、CVE-2023-0465、CVE-2023-0466、CVE-2023-0464,以及先前在 1.1.1t 中修复的 CVE-2023-0286、CVE-2022-4303 和 CVE-2022-4303 (gh-101727)。
- gh-102153:
urllib.parse.urlsplit()现在按照 WHATWG 定义的 URL 规范,删除前导 C0 控制字符和空格字符,以响应 CVE-2023-24329。 - gh-99889: 修复了
uu.decode()中的一个安全漏洞,如果未指定out_file,则可能允许基于输入的目录遍历。 - gh-104049: 不要在
http.client.SimpleHTTPRequestHandler生成的目录索引中暴露本地磁盘位置。 - gh-103935:
trace.__main__现在对要执行的文件使用io.open_code()而不是原始的open()。 - gh-101283: 当使用
shell=True启动时,subprocess.Popen现在使用更安全的方法来查找cmd.exe。 - gh-102126: 如果任何终结器尝试获取运行时头锁,则修复了在清除线程状态时发生的死锁。
- gh-100892: 修复了在清除
threading.local时,由于迭代线程状态而导致的崩溃。 - gh-102953:
tarfile和shutil.unpack_archive()中的提取方法有一个新的filter参数,该参数允许限制可能令人惊讶或危险的tar功能,例如在目标目录之外创建文件。有关详细信息,请参阅提取过滤器。
没有安装程序
根据 PEP 596 中指定的发布日历,Python 3.9 现在处于其生命周期的“仅安全修复”阶段:3.9 分支仅接受安全修复,并且这些修复以仅源代码形式不定期发布,直到 2025 年 10 月。Python 3.9 不再接收常规错误修复,并且不再为其提供二进制安装程序。Python 3.9.13 是 Python 3.9 的最后一个带有二进制安装程序的完整错误修复版本。
文件
| 版本 | 操作系统 | 描述 | MD5 校验和 | 文件大小 | GPG | Sigstore | |
|---|---|---|---|---|---|---|---|
| Gzipped 源代码 tarball | 源代码发布 | ded6379983f364cf790793ca24dcfe3e | 25.1 MB | SIG | .sigstore | ||
| XZ 压缩源代码 tarball | 源代码发布 | 601fc470594f378b4339b454901f8e41 | 18.7 MB | SIG | .sigstore | ||