Python 3.7.16
釋出日期: 2022年12月6日
這是 Python 3.7 的一個安全版本
注意:您正在檢視的這個版本是舊版 3.7 系列的安全漏洞修復版本,該系列現已停止維護,不再受支援。請訪問下載頁面檢視當前受支援的 Python 版本。3.7 的最後一個安全漏洞修復版本是 3.7.17。
此版本中的安全內容
- gh-98739:將捆綁的 libexpat 更新至 2.5.0,以修復 CVE-2022-43680(堆用後釋放漏洞)。
- gh-98517:移植 XKCP 對 SHA-3 中緩衝區溢位的修復,以修復 CVE-2022-37454。
- gh-98433:
socket或asyncio相關名稱解析函式用於 DNS 主機名的 IDNA 編解碼器不再涉及二次方演算法,以修復 CVE-2022-45061。這可以防止在解碼包含雙向字元的超長不規範主機名時,可能導致的 CPU 拒絕服務攻擊。某些協議(例如urllib的 http 3xx 重定向)可能會允許攻擊者提供此類名稱。 - gh-68966:已棄用的 mailcap 模組現在拒絕將不安全的文字(檔名、MIME 型別、引數)注入 shell 命令中,以解決 CVE-2015-20107。它將不再使用此類文字,而是發出警告並表現得如同未找到匹配項一樣(對於測試命令,則如同測試失敗一樣)。
- gh-100001:
python -m http.server不再允許在垃圾請求中傳送的終端控制字元被列印到 stderr 伺服器日誌中。
無安裝程式
根據 PEP 537 中指定的釋出日程,Python 3.7 目前處於其生命週期的“僅安全修復”階段:3.7 分支只接受安全修復,並且這些修復版本會以僅原始碼的形式不定期釋出,直到 2023 年 6 月。Python 3.7 不再接收常規的漏洞修復,也不再為其提供二進位制安裝包。Python 3.7.9 是 Python 3.7 最後一個提供二進位制安裝包的完整漏洞修復版本。
檔案
| 版本 | 作業系統 | 描述 | MD5 校驗和 | 檔案大小 | Sigstore | GPG | |
|---|---|---|---|---|---|---|---|
| Gzip 壓縮的原始碼包 | 原始碼釋出版 | f21656b51c9907fc6993b64ef216d994 | 23.0 MB | .sigstore | SIG | ||
| XZ 壓縮的原始碼包 | 原始碼釋出版 | df3b8ad6e2ab8f198d65ecf68816bf42 | 17.3 MB | .sigstore | SIG | ||