Erscheinungsdatum: 6. Juni 2023

Dies ist eine Sicherheitsveröffentlichung von Python 3.7

Hinweis: Die hier angezeigte Veröffentlichung ist Python 3.7.17, die endgültige Sicherheits-Bugfix-Veröffentlichung für die ältere 3.7-Serie, die nun das End-of-Life erreicht hat und nicht mehr unterstützt wird. Informationen zu derzeit unterstützten Python-Versionen finden Sie auf der Download-Seite.

Sicherheitsinhalte dieser Veröffentlichung

• gh-103142: Die in den Windows- und Mac-Installern verwendete OpenSSL-Version wurde auf 1.1.1u aktualisiert, um CVE-2023-2650, CVE-2023-0465, CVE-2023-0466, CVE-2023-0464 sowie CVE-2023-0286, CVE-2022-4303 und CVE-2022-4303, die zuvor in 1.1.1t behoben wurden (gh-101727), zu adressieren.
• gh-102153: urllib.parse.urlsplit() entfernt nun führende C0-Steuerzeichen und Leerzeichen gemäß der Spezifikation für URLs, die von WHATWG definiert wurden, als Reaktion auf CVE-2023-24329.
• gh-99889: Behebung einer Sicherheitslücke in uu.decode(), die bei Eingabe, für die kein out_file angegeben wurde, eine Verzeichnis-Traversal ermöglicht hätte.
• gh-104049: Die lokale Position auf der Festplatte wird in den von http.client.SimpleHTTPRequestHandler erzeugten Verzeichnisindizes nicht mehr angezeigt.
• gh-101283: subprocess.Popen verwendet jetzt einen sichereren Ansatz, um cmd.exe zu finden, wenn mit shell=True gestartet wird.

Keine Installer

Gemäß dem in PEP 537 angegebenen Release-Kalender befindet sich Python 3.7 nun in der Phase "nur Sicherheitsfixes" seines Lebenszyklus: Der 3.7-Zweig akzeptiert nur noch Sicherheitsfixes, und Veröffentlichungen davon erfolgen unregelmäßig nur in Quellcodeform bis Juni 2023. Python 3.7 erhält keine regulären Fehlerbehebungen mehr, und Binärinstaller werden dafür nicht mehr bereitgestellt. Python 3.7.9 war die letzte vollständige Bugfix-Veröffentlichung von Python 3.7 mit Binärinstallern.

Vollständiges Changelog