Python 3.11.14
釋出日期: 2025年10月9日
這是 Python 3.11 的一個安全修復版本
注意:您正在檢視的是 Python 3.11.14,這是舊版 3.11 系列的安全漏洞修復版本。Python 3.14 現在是 Python 3 的最新功能釋出系列。請在此處獲取 3.14.x 的最新版本。
此版本中的安全內容
XML 相關
- gh-139312:將繫結的 libexpat 庫升級至 2.7.3,以修復 CVE-2025-59375
- gh-139400:
xml.parsers.expat:確保父 Expat 解析器只有在不再被ExternalEntityParserCreate()建立的子解析器引用時,才會被垃圾回收。
歸檔相關
- gh-130577:
tarfile現在會驗證歸檔檔案,以確保成員偏移量為非負數。 - gh-139700:現在會檢查 zip64 中央目錄記錄末端的一致性。如果 ZIP 檔案前沒有字首位元組,則增加了對帶有“zip64 可擴充套件資料”記錄的支援。
HTML 解析相關
- gh-135661:根據 HTML5 標準,修復了
html.parser.HTMLParser中對開始和結束標籤的解析。 - 不再接受在
</和標籤名之間存在空白字元。例如:</ script>不會結束指令碼區域。 - 垂直製表符 (
\v) 和非 ASCII 空白字元不再被識別為空白。唯一的空白字元是\t\n\r\f和空格。 - 空字元 (U+0000) 不再結束標籤名。
- 結束標籤中標籤名後的屬性和斜槓現在將被忽略,而不是在帶引號的屬性值中第一個
>後終止。例如:</script/foo=">"/>。 - 在起始標籤和結束標籤中,最後一個屬性與閉合的
>之間的多個斜槓和空白字元現在將被忽略。例如:<a foo=bar/ //>。 - 屬性名和值之間的多個
=不再被合併。例如:<a foo==bar>會產生一個值為“=bar”的“foo”屬性。 - gh-135661:根據 HTML5 標準,修復了
html.parser.HTMLParser中 CDATA 部分的解析:] ]>和]] >不再結束 CDATA 部分。添加了私有方法_set_support_cdata(),可用於指定如何解析<[CDATA[——是作為外來內容(SVG 或 MathML)中的 CDATA 部分,還是作為 HTML 名稱空間中的無效註釋。 - gh-102555:根據 HTML5 標準,修復了
html.parser.HTMLParser中的註釋解析。--!>現在會結束註釋。-- >不再結束註釋。支援異常結束的空註釋<-->和<--->。 - gh-135462:修復了在
html.parser.HTMLParser中處理特殊構造的輸入時出現的二次複雜度問題。現在會根據 HTML5 規範處理檔案結束錯誤——註釋和宣告會自動閉合,標籤則被忽略。 - gh-118350:修復了
html.parser.HTMLParser對可轉義原始文字模式(“textarea”和“title”元素)的支援。 - gh-86155:
html.parser.HTMLParser.close()在<script>標籤未閉合時不再丟失資料。
ensurepip 的 setuptools 相關
- gh-135374:將捆綁的 setuptools 副本更新至 79.0.1,以修復 CVE-2025-47273 和 CVE-2024-6345。
無安裝程式
根據 PEP 664 中規定的釋出日程,Python 3.11 現在處於其生命週期的“僅安全修復”階段:3.11 分支只接受安全修復,並且這些修復將以不定期、僅原始碼的形式釋出,直到 2027 年 10 月。Python 3.11 不再接收常規的錯誤修復,也不再為其提供二進位制安裝包。Python 3.11.9 是 Python 3.11 最後一個提供二進位制安裝包的完整錯誤修復版本。
檔案
| 版本 | 作業系統 | 描述 | MD5 校驗和 | 檔案大小 | Sigstore | GPG | |
|---|---|---|---|---|---|---|---|
| Gzip 壓縮的原始碼包 | 原始碼釋出版 | 4ea22126e372171c43ba552800629775 | 25.3 MB | .sigstore | SIG | ||
| XZ 壓縮的原始碼包 | 原始碼釋出版 | 2f7d50f6e41d61607022dfeb7741df3a | 19.4 MB | .sigstore | SIG | ||