注意:雖然 JavaScript 對本網站不是必需的,但您與內容的互動將會受到限制。請啟用 JavaScript 以獲得完整體驗。

Python 3.11.10

釋出日期:2024 年 9 月 7 日

這是 Python 3.11 的安全版本

注意:您正在檢視的版本是 Python 3.11.10,它是舊版 3.11 系列的安全錯誤修復版本Python 3.12 現在是 Python 3 的最新功能釋出系列。在此處獲取 3.12.x 的最新版本

此版本中的安全內容

  • gh-123678gh-116741:將捆綁的 libexpat 升級到 2.6.3,以修復 CVE-2024-28757CVE-2024-45490CVE-2024-45491CVE-2024-45492
  • gh-118486:Windows 上的 os.mkdir() 現在接受 0o700mode 來將新目錄限制為當前使用者。這修復了 CVE-2024-4030,該漏洞影響 tempfile.mkdtemp(),在基本臨時目錄比預設目錄更寬鬆的情況下。
  • gh-123067:透過 http.cookies 修復瞭解析帶有反斜槓的 " 引號 cookie 值時的二次複雜度。修復了 CVE-2024-7592。
  • gh-113171:修復了 IPv4Address.is_private、IPv4Address.is_global、IPv6Address.is_private、IPv6Address.is_global 中的各種誤報和漏報。修復了 CVE-2024-4032。
  • gh-67693:修復了 urllib.parse.urlunparse()urllib.parse.urlunsplit() 對於路徑以多個斜槓開頭且沒有 authority 的 URI 的問題。修復了 CVE-2015-2104。
  • gh-121957:修復了 Python 互動式使用時缺少稽核事件的問題,現在對於 python -i 以及 python -m asyncio 也能正確觸發。相關事件是 cpython.run_stdin
  • gh-122133:在像 Windows 這樣沒有 AF_UNIX 可用的平臺上,對 socket.socketpair() 回退的套接字連線進行身份驗證。
  • gh-121285:從 tarfile 標頭解析中刪除 hdrcharset、PAX 和 GNU 稀疏標頭中的回溯。這是 CVE-2024-6232。
  • gh-114572ssl.SSLContext.cert_store_stats()ssl.SSLContext.get_ca_certs() 現在在 ssl.SSLContext 在多個執行緒之間共享時,正確鎖定對證書儲存的訪問。
  • gh-102988email.utils.getaddresses()email.utils.parseaddr() 現在在遇到無效電子郵件地址時,在更多情況下返回 ('', '') 2 元組,而不是潛在的不準確值。為這兩個函式新增可選的 strict 引數:使用 strict=False 獲取舊的行為,接受格式錯誤的輸入。可以使用 getattr(email.utils, 'supports_strict_parsing', False) 來檢查是否提供了 strict 引數。這改進了 CVE-2023-27043 的修復。
  • gh-123270:清理 zipfile.Path 中的名稱,以避免無限迴圈(gh-122905),而不會破壞使用合法字元的內容。這是 CVE-2024-8088。
  • gh-121650:現在,輸出時會引用帶有嵌入換行符的 email 標頭。現在,generator 將拒絕序列化(寫入)不安全摺疊或分隔的標頭;請參閱 verify_generated_headers。這是 CVE-2024-6923。
  • gh-119690:修復了 _winapi.CreateFile_winapi.CreateNamedPipe 引發的稽核事件中的資料型別混淆問題。
  • gh-116773:修復了 <_overlapped.Overlapped object at 0xXXX> still has pending operation at deallocation, the process may crash 的例項。
  • gh-112275:現在修復了在 fork 時涉及 posixmodule.cpystate.cHEAD_LOCK 的死鎖問題。

沒有安裝程式

根據 PEP 664 中指定的釋出日曆,Python 3.11 現在處於其生命週期的“僅安全修復”階段:3.11 分支僅接受安全修復,並且這些修復版本的釋出不定期,僅以原始碼形式釋出,直到 2027 年 10 月。Python 3.11 不再接收常規錯誤修復,也不再為其提供二進位制安裝程式。Python 3.11.9 是最後一個帶有二進位制安裝程式的 Python 3.11 完整錯誤修復版本

完整更新日誌

檔案

版本 作業系統 描述 MD5 校驗和 檔案大小 GPG Sigstore
Gzip 壓縮的原始碼 tarball 原始碼釋出 35c36069a43dd57a7e9915deba0f864e 25.3 MB SIG .sigstore
XZ 壓縮的原始碼 tarball 原始碼釋出 af59e243df4c7019f941ae51891c10bc 19.1 MB SIG .sigstore