注意: 雖然 JavaScript 對於本網站不是必需的,但您與內容的互動將受到限制。請啟用 JavaScript 以獲得完整體驗。

Python 3.8.20

釋出日期:2024 年 9 月 6 日

這是 Python 3.8 的安全版本

注意: 您正在檢視的版本是 Python 3.8.20,它是舊版 3.8 系列的安全漏洞修復版本Python 3.12 現在是 Python 3 的最新功能釋出系列。 在此處獲取 3.12.x 的最新版本

此版本中的安全內容

  • gh-123678gh-116741:將捆綁的 libexpat 升級到 2.6.3 以修復 CVE-2024-28757CVE-2024-45490CVE-2024-45491CVE-2024-45492
  • gh-118486:Windows 上的 os.mkdir() 現在接受 0o700模式,以將新目錄限制為當前使用者。這修復了影響 tempfile.mkdtemp() 的 CVE-2024-4030,在基本臨時目錄比預設目錄更寬鬆的情況下。
  • gh-123067:修復 http.cookies 在解析帶有反斜槓的 " 引用的 Cookie 值時的二次複雜性。修復了 CVE-2024-7592。
  • gh-113171:修復了 IPv4Address.is_private、IPv4Address.is_global、IPv6Address.is_private、IPv6Address.is_global 中的各種誤報和漏報。修復了 CVE-2024-4032。
  • gh-67693:修復了對於路徑以多個斜槓開頭且沒有授權的 URI,urllib.parse.urlunparse()urllib.parse.urlunsplit() 的問題。修復了 CVE-2015-2104。
  • gh-121957:修復了圍繞 Python 互動式使用的缺失的審計事件,現在也正確地為 python -i 以及 python -m asyncio 觸發。有問題的事件是 cpython.run_stdin
  • gh-122133:在 AF_UNIX 不可用的平臺(如 Windows)上,對 socket.socketpair() 回退的套接字連線進行身份驗證。
  • gh-121285:從 tarfile 標頭解析中刪除 hdrcharset、PAX 和 GNU 稀疏標頭的回溯。這是 CVE-2024-6232。
  • gh-114572:當 ssl.SSLContext 在多個執行緒之間共享時,ssl.SSLContext.cert_store_stats()ssl.SSLContext.get_ca_certs() 現在正確地鎖定對證書儲存的訪問。
  • gh-102988:當遇到無效的電子郵件地址時,email.utils.getaddresses()email.utils.parseaddr() 現在在更多情況下返回 ('', '') 2 元組,而不是可能不準確的值。向這兩個函式新增可選的 strict 引數:使用 strict=False 獲取舊的行為,接受格式錯誤的輸入。getattr(email.utils, 'supports_strict_parsing', False) 可用於檢查 strict 引數是否可用。這改進了 CVE-2023-27043 修復。
  • gh-123270:清理 zipfile.Path 中的名稱,以避免無限迴圈 (gh-122905),而不會破壞使用合法字元的內容。這是 CVE-2024-8088。
  • gh-121650:現在會在輸出時引用帶有嵌入換行符的 email 標頭。generator 現在將拒絕序列化(寫入)不安全摺疊或分隔的標頭;請參閱 verify_generated_headers。這是 CVE-2024-6923。
  • gh-119690:修復了 _winapi.CreateFile_winapi.CreateNamedPipe 引發的審計事件中的資料型別混淆問題。
  • gh-116773:修復了 <_overlapped.Overlapped object at 0xXXX> still has pending operation at deallocation, the process may crash 的例項。
  • gh-112275:現在修復了在 fork 時涉及 posixmodule.cpystate.cHEAD_LOCK 的死鎖。

沒有安裝程式

根據 PEP 569 中指定的釋出日曆,Python 3.8 現在處於其生命週期的“僅安全修復”階段:3.8 分支僅接受安全修復,並且這些修復的釋出以僅源形式不定期進行,直到 2024 年 10 月。Python 3.8 不再接收常規錯誤修復,並且不再為其提供二進位制安裝程式。Python 3.8.10 是 Python 3.8 的最後一個完整錯誤修復版本,帶有二進位制安裝程式。

完整變更日誌

檔案

版本 作業系統 描述 MD5 校驗和 檔案大小 GPG Sigstore
Gzip 壓縮的原始碼 tarball 原始碼釋出 7e0ff9088be5a3c2fd9b7d8b4b632b5e 23.9 MB SIG .sigstore
XZ 壓縮的原始碼 tarball 原始碼釋出 745478c81d6382cf46b5e7ad89e56008 18.1 MB SIG .sigstore