Hinweis: Obwohl JavaScript für diese Website nicht unbedingt erforderlich ist, werden Ihre Interaktionsmöglichkeiten mit den Inhalten eingeschränkt sein. Bitte aktivieren Sie JavaScript für das volle Erlebnis.

Python 3.7.16

Erscheinungsdatum: 6. Dez. 2022

Dies ist ein Sicherheitsrelease von Python 3.7

Hinweis: Das Release, das Sie betrachten, ist ein Sicherheits-Bugfix-Release für die ältere 3.7er Serie, die nun das Ende ihres Lebenszyklus erreicht hat und nicht mehr unterstützt wird. Sehen Sie sich die Downloadseite für derzeit unterstützte Python-Versionen an. Das letzte Sicherheits-Bugfix-Release für 3.7 war 3.7.17.

Sicherheitsinhalte dieser Veröffentlichung

  • gh-98739: Gebündelte libexpat auf 2.5.0 aktualisiert, um CVE-2022-43680 (Heap Use-after-free) zu beheben.
  • gh-98517: XKCPs Korrektur für die Pufferüberläufe in SHA-3 portiert, um CVE-2022-37454 zu beheben.
  • gh-98433: Der IDNA-Codec-Decoder, der von `socket`- oder `asyncio`-bezogenen Namensauflösungsfunktionen für DNS-Hostnamen verwendet wird, beinhaltet keinen quadratischen Algorithmus mehr, um CVE-2022-45061 zu beheben. Dies verhindert eine potenzielle Denial-of-Service-Attacke auf die CPU, falls ein Hostname von übermäßiger Länge außerhalb der Spezifikation, der bidirektionale Zeichen enthält, dekodiert würde. Einige Protokolle wie `urllib` http 3xx-Weiterleitungen ermöglichen potenziell einem Angreifer, einen solchen Namen zu liefern.
  • gh-68966: Das veraltete `mailcap`-Modul weigert sich nun, unsichere Texte (Dateinamen, MIME-Typen, Parameter) in Shell-Befehle einzuschleusen, um CVE-2015-20107 zu beheben. Anstatt solche Texte zu verwenden, wird eine Warnung ausgegeben und es wird so verfahren, als ob keine Übereinstimmung gefunden wurde (oder bei Testbefehlen, als ob der Test fehlgeschlagen ist).
  • gh-100001: `python -m http.server` erlaubt es nicht mehr, Terminal-Steuerzeichen, die in einer ungültigen Anfrage gesendet werden, in das stderr-Serverprotokoll zu drucken.

Keine Installer

Gemäß dem Release-Kalender, der in PEP 537 spezifiziert ist, befindet sich Python 3.7 nun in der Phase "nur Sicherheitskorrekturen" seines Lebenszyklus: Der 3.7er Branch akzeptiert nur noch Sicherheitskorrekturen, und Releases davon werden bis Juni 2023 unregelmäßig in reiner Quellform veröffentlicht. Python 3.7 erhält keine regulären Bugfixes mehr, und Binärinstaller werden dafür nicht mehr bereitgestellt. Python 3.7.9 war das letzte vollständige Bugfix-Release von Python 3.7 mit Binärinstallern.

Vollständiges Changelog

Dateien

Version Betriebssystem Beschreibung MD5 Summe Dateigröße Sigstore GPG
Gzip-komprimiertes Quell-Tarball Quellcode-Veröffentlichung f21656b51c9907fc6993b64ef216d994 23,0 MB .sigstore SIG
XZ-komprimierter Quell-Tarball Quellcode-Veröffentlichung df3b8ad6e2ab8f198d65ecf68816bf42 17,3 MB .sigstore SIG