Python 3.9.23
发布日期: 2025年6月3日
这是 Python 3.9 的一个安全修复版本
注意:您正在查看的版本是 Python 3.9.23,这是旧版 3.9 系列的安全修复版本。Python 3.13 现在是 Python 3 最新的功能发布系列。在此处获取 3.13.x 的最新版本。
此版本中的安全内容
- gh-135034: [CVE 2024-12718] [CVE 2025-4138] [CVE 2025-4330] [CVE 2025-4435] [CVE 2025-4517] 修复了多个问题,这些问题允许通过精心构造的符号链接和硬链接绕过 tarfile 提取过滤器(filter="data" 和 filter="tar")。
- gh-133767: 修复了在使用非“strict”错误处理程序时,“unicode-escape”解码器中存在的释放后使用(use-after-free)漏洞。
- gh-128840: 在 ipaddress 模块中提前对过长的 IPv6 地址进行短路处理,以防止过度的内存消耗和轻微的拒绝服务攻击。
- gh-80222:display_name 中带引号字符串的折叠违反了 RFC 规定。
无安装程序
根据 PEP 596 中指定的发布日程,Python 3.9 目前处于其生命周期的“仅安全修复”阶段:3.9 分支只接受安全修复,并且这些修复将以不定期、仅源码的形式发布,直至 2025 年 10 月。Python 3.9 不再接收常规的漏洞修复,也不再为其提供二进制安装程序。Python 3.9.13 是 Python 3.9 最后一个提供二进制安装程序的完整漏洞修复版本。
文件
| 版本 | 操作系统 | 描述 | MD5 校验和 | 文件大小 | Sigstore | GPG | |
|---|---|---|---|---|---|---|---|
| Gzip 压缩的源码包 | 源码发布版 | e6c3c5ba679cc6a1e2932b2fdcafbc3d | 24.9 MB | .sigstore | SIG | ||
| XZ 压缩的源码包 | 源码发布版 | a4e4a53cbde60b743d7c2f9aa38c3b8f | 18.7 MB | .sigstore | SIG | ||