Release Date: 9. Okt. 2025

Dies ist eine Sicherheitsveröffentlichung von Python 3.11

Hinweis: Die Version, die Sie sich ansehen, ist Python 3.11.14, eine Sicherheits-Bugfix-Version für die ältere Serie 3.11. Python 3.14 ist jetzt die neueste Feature-Release-Serie von Python 3. Holen Sie sich hier die neueste Version von 3.14.x.

Sicherheitsinhalte dieser Veröffentlichung

XML-bezogen

• gh-139312: Gebündeltes libexpat auf 2.7.3 aktualisiert, um CVE-2025-59375 zu beheben
• gh-139400: xml.parsers.expat: Sichergestellt, dass übergeordnete Expat-Parser nur dann garbage-collected werden, wenn sie nicht mehr von durch ExternalEntityParserCreate() erstellten Unter-Parsern referenziert werden.

Archiv-bezogen

• gh-130577: tarfile validiert jetzt Archive, um sicherzustellen, dass Member-Offsets nicht negativ sind.
• gh-139700: Überprüfung der Konsistenz des ZIP64-Ende-des-Zentralverzeichnis-Eintrags. Unterstützung für Einträge mit „ZIP64 erweiterbare Daten“ hinzugefügt, wenn dem ZIP-File keine Bytes vorangestellt sind.

HTML-Parsing-bezogen

• gh-135661: Parsen von Start- und End-Tags in html.parser.HTMLParser gemäß dem HTML5-Standard behoben.
• Leerzeichen werden zwischen </ und dem Tag-Namen nicht mehr akzeptiert. Z.B. beendet </ script> den Skriptabschnitt nicht.
• Vertikale Tabulatoren (\v) und Nicht-ASCII-Leerzeichen werden nicht mehr als Leerzeichen erkannt. Die einzigen Leerzeichen sind \t\n\r\f und Leerzeichen.
• Null-Zeichen (U+0000) beenden den Tag-Namen nicht mehr.
• Attribute und Schrägstriche nach dem Tag-Namen in End-Tags werden jetzt ignoriert, anstatt nach dem ersten > in einem zitierten Attributwert zu enden. Z.B. </script/foo=">"/>.
• Mehrere Schrägstriche und Leerzeichen zwischen dem letzten Attribut und dem schließenden > werden nun sowohl in Start- als auch in End-Tags ignoriert. Z.B. <a foo=bar/ //>.
• Mehrere = zwischen Attributnamen und Wert werden nicht mehr zusammengefasst. Z.B. erzeugt <a foo==bar> das Attribut „foo“ mit dem Wert „=bar“.
• gh-135661: Behebt das Parsen von CDATA-Abschnitten in html.parser.HTMLParser gemäß dem HTML5-Standard: ] ]> und ]] > beenden den CDATA-Abschnitt nicht mehr. Fügt die private Methode _set_support_cdata() hinzu, mit der angegeben werden kann, wie <[CDATA[ geparst werden soll – als CDATA-Abschnitt in fremdem Inhalt (SVG oder MathML) oder als ungültiger Kommentar im HTML-Namensraum.
• gh-102555: Behebt das Parsen von Kommentaren in html.parser.HTMLParser gemäß dem HTML5-Standard. --!> beendet nun den Kommentar. -- > beendet den Kommentar nicht mehr. Unterstützt abnormal beendete leere Kommentare <--> und <--->.
• gh-135462: Quadratische Komplexität bei der Verarbeitung speziell präparierter Eingaben in html.parser.HTMLParser behoben. Fehler am Ende der Datei werden jetzt gemäß den HTML5-Spezifikationen behandelt – Kommentare und Deklarationen werden automatisch geschlossen, Tags werden ignoriert.
• gh-118350: Unterstützung für den escapable raw text mode (Elemente „textarea“ und „title“) in html.parser.HTMLParser behoben.
• gh-86155: html.parser.HTMLParser.close() verliert keine Daten mehr, wenn der <script>-Tag nicht geschlossen ist.

ensurepip's setuptools-bezogene

• gh-135374: Aktualisiert die gebündelte Kopie von setuptools auf 79.0.1, um CVE-2025-47273 und CVE-2024-6345 zu beheben.

Keine Installer

Gemäß dem in PEP 664 spezifizierten Veröffentlichungskalender befindet sich Python 3.11 nun im Stadium "nur Sicherheitskorrekturen" seines Lebenszyklus: Der 3.11-Zweig akzeptiert nur noch Sicherheitskorrekturen und Veröffentlichungen davon erfolgen unregelmäßig in reiner Quellform bis Oktober 2027. Python 3.11 erhält keine regelmäßigen Fehlerbehebungen mehr, und Binärinstaller werden dafür nicht mehr bereitgestellt. Python 3.11.9 war die letzte vollständige Bugfix-Veröffentlichung von Python 3.11 mit Binärinstallern.

Vollständiges Changelog