Hinweis: Obwohl JavaScript für diese Website nicht unbedingt erforderlich ist, werden Ihre Interaktionsmöglichkeiten mit den Inhalten eingeschränkt sein. Bitte aktivieren Sie JavaScript für das volle Erlebnis.

Python 3.9.17

Erscheinungsdatum: 6. Juni 2023

Dies ist eine Sicherheitsveröffentlichung von Python 3.9

Hinweis: Die hier angezeigte Version ist Python 3.9.17, eine Sicherheits-Bugfix-Version für die ältere 3.9-Reihe. Python 3.11 ist jetzt die neueste Feature-Release-Reihe von Python 3. Holen Sie sich hier die neueste Version von 3.11.x.

Sicherheitsinhalte dieser Veröffentlichung

  • gh-103142: Die in den Windows- und Mac-Installern verwendete OpenSSL-Version wurde auf 1.1.1u aktualisiert, um CVE-2023-2650, CVE-2023-0465, CVE-2023-0466, CVE-2023-0464 sowie CVE-2023-0286, CVE-2022-4303 und CVE-2022-4303, die zuvor in 1.1.1t behoben wurden (gh-101727), zu adressieren.
  • gh-102153: urllib.parse.urlsplit() entfernt nun führende C0-Steuerzeichen und Leerzeichen gemäß der Spezifikation für URLs, die von WHATWG definiert wurden, als Reaktion auf CVE-2023-24329.
  • gh-99889: Ein Sicherheitsproblem in uu.decode() wurde behoben, das bei Eingaben ohne Angabe von out_file zu Verzeichnisübergreifungen führen konnte.
  • gh-104049: Die lokale Position auf der Festplatte wird in den von http.client.SimpleHTTPRequestHandler erzeugten Verzeichnisindizes nicht mehr angezeigt.
  • gh-103935: trace.__main__ verwendet nun io.open_code() für auszuführende Dateien anstelle des rohen open().
  • gh-101283: subprocess.Popen verwendet jetzt einen sichereren Ansatz, um cmd.exe zu finden, wenn mit shell=True gestartet wird.
  • gh-102126: Behebung eines Deadlocks beim Herunterfahren beim Leeren von Thread-Zuständen, wenn ein Finalizer versucht, die Runtime-Head-Sperre zu erwerben.
  • gh-100892: Behebung eines Absturzes aufgrund eines Race Conditions bei der Iteration über Thread-Zustände beim Leeren von threading.local.
  • gh-102953: Die Extraktionsmethoden in tarfile und shutil.unpack_archive() verfügen über ein neues Argument filter, das die Begrenzung von tar-Funktionen ermöglicht, die überraschend oder gefährlich sein können, wie z. B. das Erstellen von Dateien außerhalb des Zielverzeichnisses. Details finden Sie unter Extraction filters.

Keine Installer

Gemäß dem Release-Kalender, der in PEP 596 festgelegt ist, befindet sich Python 3.9 nun in der Phase "nur Sicherheitsfixes" seines Lebenszyklus: Der 3.9-Zweig akzeptiert nur noch Sicherheitsfixes, und deren Veröffentlichungen erfolgen unregelmäßig in reiner Quellform bis Oktober 2025. Python 3.9 erhält keine regulären Fehlerbehebungen mehr, und binäre Installer werden dafür nicht mehr bereitgestellt. Python 3.9.13 war die letzte vollständige Bugfix-Veröffentlichung von Python 3.9 mit binären Installern.

Vollständiges Changelog

Dateien

Version Betriebssystem Beschreibung MD5 Summe Dateigröße Sigstore GPG
Gzip-komprimiertes Quell-Tarball Quellcode-Veröffentlichung ded6379983f364cf790793ca24dcfe3e 25,1 MB .sigstore SIG
XZ-komprimierter Quell-Tarball Quellcode-Veröffentlichung 601fc470594f378b4339b454901f8e41 18.7 MB .sigstore SIG