注意: 雖然 JavaScript 對於本網站不是必需的,但您與內容的互動將受到限制。請啟用 JavaScript 以獲得完整體驗。

Python 3.10.15

釋出日期: 2024 年 9 月 7 日

這是 Python 3.10 的一個安全版本

注意: 您正在檢視的版本是 Python 3.10.15,這是針對舊版 3.10 系列的安全漏洞修復版本Python 3.12 現在是 Python 3 的最新功能釋出系列。 在此處獲取 3.12.x 的最新版本

此版本中的安全內容

  • gh-123678gh-116741: 將捆綁的 libexpat 升級到 2.6.3 以修復 CVE-2024-28757, CVE-2024-45490, CVE-2024-45491CVE-2024-45492.
  • gh-118486: Windows 上的 os.mkdir() 現在接受 0o700mode,以將新目錄限制為當前使用者。這修復了影響 tempfile.mkdtemp() 的 CVE-2024-4030,在基本臨時目錄比預設目錄更寬鬆的情況下。
  • gh-123067: 透過 http.cookies 修復解析帶有反斜槓的 " 引號 cookie 值時的二次複雜度。修復了 CVE-2024-7592。
  • gh-113171: 修復了 IPv4Address.is_private、IPv4Address.is_global、IPv6Address.is_private、IPv6Address.is_global 中的各種誤報和漏報。修復了 CVE-2024-4032。
  • gh-67693: 修復了 urllib.parse.urlunparse()urllib.parse.urlunsplit() 對於路徑以多個斜槓開頭且沒有 authority 的 URI。修復了 CVE-2015-2104。
  • gh-121957: 修復了圍繞 Python 互動使用的缺失的審計事件,現在也正確觸發了 python -i 以及 python -m asyncio。相關事件是 cpython.run_stdin
  • gh-122133: 在像 Windows 這樣 AF_UNIX 不可用的平臺上,對 socket.socketpair() 回退的套接字連線進行身份驗證。
  • gh-121285: 從 tarfile 頭部解析中刪除 hdrcharset、PAX 和 GNU 稀疏頭部中的回溯。這是 CVE-2024-6232。
  • gh-114572: ssl.SSLContext.cert_store_stats()ssl.SSLContext.get_ca_certs() 現在在 ssl.SSLContext 在多個執行緒之間共享時,正確鎖定對證書儲存的訪問。
  • gh-102988: email.utils.getaddresses()email.utils.parseaddr() 現在在遇到無效電子郵件地址時,在更多情況下返回 ('', '') 的 2 元組,而不是返回可能不準確的值。向這兩個函式新增可選的 strict 引數:使用 strict=False 獲取舊的行為,接受格式錯誤的輸入。可以使用 getattr(email.utils, 'supports_strict_parsing', False) 來檢查 strict 引數是否可用。這改進了 CVE-2023-27043 的修復。
  • gh-123270: 在 zipfile.Path 中清理名稱以避免無限迴圈 (gh-122905),而不會破壞使用合法字元的內容。這是 CVE-2024-8088。
  • gh-121650: 現在輸出時,帶有嵌入換行符的 email 頭部會被引用。generator 現在會拒絕序列化(寫入)不安全摺疊或分隔的頭部;請參閱 verify_generated_headers。這是 CVE-2024-6923。
  • gh-119690: 修復了由 _winapi.CreateFile_winapi.CreateNamedPipe 引發的審計事件中的資料型別混淆。
  • gh-116773: 修復了 <_overlapped.Overlapped object at 0xXXX> 仍然在釋放時有掛起的操作,程序可能會崩潰 的例項。
  • gh-112275: 現在修復了在 posixmodule.c 的 fork 處涉及 pystate.cHEAD_LOCK 的死鎖。

沒有安裝程式

根據 PEP 619 中指定的釋出日曆,Python 3.10 現在處於其生命週期的“僅安全修復”階段:3.10 分支僅接受安全修復,並且這些修復僅以原始碼形式不定期釋出,直到 2026 年 10 月。Python 3.10 不再接收常規錯誤修復,並且不再為其提供二進位制安裝程式。Python 3.10.11 是帶有二進位制安裝程式的 Python 3.10 的最後一個完整的錯誤修復版本

完整更改日誌

檔案

版本 作業系統 描述 MD5 校驗和 檔案大小 GPG Sigstore
Gzip 壓縮的原始碼 tarball 原始碼版本 b6a2b570ea75ef55f50bfe79d778eb01 24.7 MB SIG .sigstore
XZ 壓縮的原始碼 tarball 原始碼版本 8b1faa1b193e4e90c0f17eb2decd89b5 18.7 MB SIG .sigstore