Python 3.9.17
釋出日期: 2023 年 6 月 6 日
這是一個 Python 3.9 的安全版本
注意: 您正在檢視的版本是 Python 3.9.17,這是針對舊版 3.9 系列的安全漏洞修復版本。Python 3.11 現在是 Python 3 的最新功能釋出系列。在此處獲取 3.11.x 的最新版本。
此版本中的安全內容
- gh-103142: Windows 和 Mac 安裝程式中使用的 OpenSSL 版本已升級到 1.1.1u,以解決 CVE-2023-2650、CVE-2023-0465、CVE-2023-0466、CVE-2023-0464,以及先前在 1.1.1t 中修復的 CVE-2023-0286、CVE-2022-4303 和 CVE-2022-4303 (gh-101727)。
- gh-102153:
urllib.parse.urlsplit()現在按照 WHATWG 定義的 URL 規範,刪除前導 C0 控制字元和空格字元,以響應 CVE-2023-24329。 - gh-99889: 修復了
uu.decode()中的一個安全漏洞,如果未指定out_file,則可能允許基於輸入的目錄遍歷。 - gh-104049: 不要在
http.client.SimpleHTTPRequestHandler生成的目錄索引中暴露本地磁碟位置。 - gh-103935:
trace.__main__現在對要執行的檔案使用io.open_code()而不是原始的open()。 - gh-101283: 當使用
shell=True啟動時,subprocess.Popen現在使用更安全的方法來查詢cmd.exe。 - gh-102126: 如果任何終結器嘗試獲取執行時頭鎖,則修復了在清除執行緒狀態時發生的死鎖。
- gh-100892: 修復了在清除
threading.local時,由於迭代執行緒狀態而導致的崩潰。 - gh-102953:
tarfile和shutil.unpack_archive()中的提取方法有一個新的filter引數,該引數允許限制可能令人驚訝或危險的tar功能,例如在目標目錄之外建立檔案。有關詳細資訊,請參閱提取過濾器。
沒有安裝程式
根據 PEP 596 中指定的釋出日曆,Python 3.9 現在處於其生命週期的“僅安全修復”階段:3.9 分支僅接受安全修復,並且這些修復以僅原始碼形式不定期釋出,直到 2025 年 10 月。Python 3.9 不再接收常規錯誤修復,並且不再為其提供二進位制安裝程式。Python 3.9.13 是 Python 3.9 的最後一個帶有二進位制安裝程式的完整錯誤修復版本。
檔案
| 版本 | 作業系統 | 描述 | MD5 校驗和 | 檔案大小 | GPG | Sigstore | |
|---|---|---|---|---|---|---|---|
| Gzipped 原始碼 tarball | 原始碼釋出 | ded6379983f364cf790793ca24dcfe3e | 25.1 MB | SIG | .sigstore | ||
| XZ 壓縮原始碼 tarball | 原始碼釋出 | 601fc470594f378b4339b454901f8e41 | 18.7 MB | SIG | .sigstore | ||