Erscheinungsdatum: 6. Sept. 2022

Dies ist eine Sicherheitsveröffentlichung von Python 3.8

Hinweis: Die hier betrachtete Version ist Python 3.8.14, eine Sicherheits-Bugfix-Version für die Legacy-Serie 3.8. Python 3.11 ist nun die neueste Feature-Release-Serie von Python 3. Holen Sie sich hier die neueste Version von 3.11.x.

Sicherheitsinhalte dieser Veröffentlichung

• CVE-2020-10735: Die Konvertierung zwischen Integer und String in anderen Basen als 2 (binär), 4, 8 (oktal), 16 (hexadezimal) oder 32 wie Basis 10 (dezimal) löst nun einen ValueError aus, wenn die Anzahl der Ziffern in Stringform über einem Limit liegt, um potenzielle Denial-of-Service-Angriffe aufgrund der algorithmischen Komplexität zu vermeiden.
• gh-87389: http.server: Behebung einer Open-Redirection-Schwachstelle im HTTP-Server, wenn ein URI-Pfad mit // beginnt.
• gh-93065: Behebung der contextvars HAMT-Implementierung, um die Iteration über tiefe Bäume zu handhaben und einen potenziellen Absturz des Interpreters zu vermeiden.
• gh-90355: Behebung der Umgebungsisolierung von ensurepip für den Pip-Subprozess.
• gh-80254: Auslösen eines ProgrammingError anstelle eines Segfaults bei rekursivem Gebrauch von Cursorn in sqlite3-Konvertern.

Keine Installer

Gemäß dem Veröffentlichungskalender in PEP 569 befindet sich Python 3.8 nun in der Phase "nur Sicherheitsupdates" seines Lebenszyklus: Der 3.8-Zweig akzeptiert nur noch Sicherheitsupdates, und diese werden unregelmäßig nur in Form von Quellcode veröffentlicht, bis Oktober 2024. Python 3.8 erhält keine regelmäßigen Bugfixes mehr, und binäre Installer werden dafür nicht mehr bereitgestellt. Python 3.8.10 war die letzte vollständige Bugfix-Veröffentlichung von Python 3.8 mit binären Installern.

Vollständiges Changelog