釋出日期： 2023年6月6日

這是 Python 3.9 的一個安全修復版本

注意：您正在檢視的是 Python 3.9.17，這是舊版 3.9 系列的安全漏洞修復版本。Python 3.11 現在是 Python 3 最新的功能釋出系列。在此處獲取 3.11.x 的最新版本。

此版本中的安全內容

• gh-103142：Windows 和 Mac 安裝程式中使用的 OpenSSL 版本已升級至 1.1.1u，以解決 CVE-2023-2650、CVE-2023-0465、CVE-2023-0466、CVE-2023-0464，以及先前在 1.1.1t 版本中已修復的 CVE-2023-0286、CVE-2022-4303 和 CVE-2022-4303 (gh-101727)。
• gh-102153：為應對 CVE-2023-24329，urllib.parse.urlsplit() 現在會根據 WHATWG 定義的 URL 規範，移除開頭的 C0 控制字元和空格字元。
• gh-99889：修復了 uu.decode() 中的一個安全漏洞，該漏洞在未指定 out_file 的情況下，可能允許基於輸入內容進行目錄遍歷。
• gh-104049：由 http.client.SimpleHTTPRequestHandler 生成的目錄索引中，不再暴露本地磁碟位置。
• gh-103935：現在 trace.__main__ 對待執行的檔案使用 io.open_code()，而非原始的 open()。
• gh-101283：現在，當使用 shell=True 啟動時，subprocess.Popen 會使用更安全的方法來查詢 cmd.exe。
• gh-102126：修復了在關閉時，如果有任何終結器（finalizer）試圖獲取執行時頭鎖（runtime head lock），清理執行緒狀態時會導致的死鎖問題。
• gh-100892：修復了在清理 threading.local 時，因迭代執行緒狀態的競爭條件（race condition）導致的崩潰問題。
• gh-102953：tarfile 中的提取方法以及 shutil.unpack_archive() 新增了一個 filter 引數，用於限制可能帶來意外或危險的 tar 功能，例如在目標目錄之外建立檔案。詳情請參閱 提取過濾器 (Extraction filters)。

無安裝程式

根據 PEP 596 中指定的釋出日程，Python 3.9 目前處於其生命週期的“僅安全修復”階段：3.9 分支只接受安全修復，並且這些修復將以不定期、僅原始碼的形式釋出，直至 2025 年 10 月。Python 3.9 不再接收常規的漏洞修復，也不再為其提供二進位制安裝程式。Python 3.9.13 是 Python 3.9 最後一個提供二進位制安裝程式的完整漏洞修復版本。

完整更新日誌