Hinweis: Obwohl JavaScript für diese Website nicht unbedingt erforderlich ist, werden Ihre Interaktionsmöglichkeiten mit den Inhalten eingeschränkt sein. Bitte aktivieren Sie JavaScript für das volle Erlebnis.

Python 3.8.16

Erscheinungsdatum: 6. Dez. 2022

Dies ist eine Sicherheitsveröffentlichung von Python 3.8

Hinweis: Die Version, die Sie sich ansehen, ist Python 3.8.16, eine Sicherheits-Bugfix-Version für die ältere 3.8-Serie. Python 3.11 ist jetzt die neueste Feature-Release-Serie von Python 3. Holen Sie sich die neueste Version von 3.11.x hier.

Sicherheitsinhalte dieser Veröffentlichung

  • gh-98739: Gebündelte libexpat auf 2.5.0 aktualisiert, um CVE-2022-43680 (Heap Use-after-free) zu beheben.
  • gh-98517: XKCPs Korrektur für die Pufferüberläufe in SHA-3 portiert, um CVE-2022-37454 zu beheben.
  • gh-98433: Der IDNA-Codec-Decoder, der von `socket`- oder `asyncio`-bezogenen Namensauflösungsfunktionen für DNS-Hostnamen verwendet wird, beinhaltet keinen quadratischen Algorithmus mehr, um CVE-2022-45061 zu beheben. Dies verhindert eine potenzielle Denial-of-Service-Attacke auf die CPU, falls ein Hostname von übermäßiger Länge außerhalb der Spezifikation, der bidirektionale Zeichen enthält, dekodiert würde. Einige Protokolle wie `urllib` http 3xx-Weiterleitungen ermöglichen potenziell einem Angreifer, einen solchen Namen zu liefern.
  • gh-68966: Das veraltete `mailcap`-Modul weigert sich nun, unsichere Texte (Dateinamen, MIME-Typen, Parameter) in Shell-Befehle einzuschleusen, um CVE-2015-20107 zu beheben. Anstatt solche Texte zu verwenden, wird eine Warnung ausgegeben und es wird so verfahren, als ob keine Übereinstimmung gefunden wurde (oder bei Testbefehlen, als ob der Test fehlgeschlagen ist).
  • gh-100001: `python -m http.server` erlaubt es nicht mehr, Terminal-Steuerzeichen, die in einer ungültigen Anfrage gesendet werden, in das stderr-Serverprotokoll zu drucken.
  • gh-87604: Vermeiden Sie die Veröffentlichung einer Liste aktiver Audit-Hooks pro Interpreter über das Modul gc.

Keine Installer

Gemäß dem Veröffentlichungskalender in PEP 569 befindet sich Python 3.8 nun in der Phase "nur Sicherheitsupdates" seines Lebenszyklus: Der 3.8-Zweig akzeptiert nur noch Sicherheitsupdates, und diese werden unregelmäßig nur in Form von Quellcode veröffentlicht, bis Oktober 2024. Python 3.8 erhält keine regelmäßigen Bugfixes mehr, und binäre Installer werden dafür nicht mehr bereitgestellt. Python 3.8.10 war die letzte vollständige Bugfix-Veröffentlichung von Python 3.8 mit binären Installern.

Vollständiges Changelog

Dateien

Version Betriebssystem Beschreibung MD5 Summe Dateigröße Sigstore GPG
Gzip-komprimiertes Quell-Tarball Quellcode-Veröffentlichung 060040f864f1003b849b33393c9605df 24,1 MB .sigstore SIG
XZ-komprimierter Quell-Tarball Quellcode-Veröffentlichung 621ac153586a3152e2ab7d3a8614df9a 18,2 MB .sigstore SIG