注意: 雖然 JavaScript 對於本網站不是必需的,但您與內容的互動將會受到限制。請啟用 JavaScript 以獲得完整體驗。

Python 3.9.20

釋出日期: 2024 年 9 月 6 日

這是一個 Python 3.9 的安全版本

注意:您正在檢視的版本是 Python 3.9.20,它是舊版 3.9 系列的安全漏洞修復版本Python 3.12 現在是 Python 3 的最新功能釋出系列。 在此處獲取最新的 3.12.x 版本

此版本中的安全內容

  • gh-123678gh-116741:將捆綁的 libexpat 升級到 2.6.3 以修復 CVE-2024-28757CVE-2024-45490CVE-2024-45491CVE-2024-45492
  • gh-118486:Windows 上的 os.mkdir() 現在接受 0o700mode 來限制新目錄的當前使用者。這修復了影響 tempfile.mkdtemp() 的 CVE-2024-4030,在基本臨時目錄比預設目錄更寬鬆的情況下。
  • gh-123067:透過 http.cookies 修復瞭解析帶有反斜槓的 " 引用的 cookie 值的二次複雜性。修復了 CVE-2024-7592。
  • gh-113171:修復了 IPv4Address.is_private、IPv4Address.is_global、IPv6Address.is_private、IPv6Address.is_global 中的各種誤報和漏報。修復了 CVE-2024-4032。
  • gh-67693:修復了 urllib.parse.urlunparse()urllib.parse.urlunsplit(),用於路徑以多個斜槓開頭且沒有 authority 的 URI。修復了 CVE-2015-2104。
  • gh-121957:修復了 Python 互動式使用中缺失的審計事件,現在也適用於 python -i 以及 python -m asyncio。相關事件是 cpython.run_stdin
  • gh-122133:在 Windows 等無法使用 AF_UNIX 的平臺上,驗證 socket.socketpair() 回退的套接字連線。
  • gh-121285:從 tarfile 標頭解析中刪除 hdrcharset、PAX 和 GNU 稀疏標頭的回溯。這是 CVE-2024-6232。
  • gh-114572:當 ssl.SSLContext 在多個執行緒之間共享時,ssl.SSLContext.cert_store_stats()ssl.SSLContext.get_ca_certs() 現在正確鎖定對證書儲存的訪問。
  • gh-102988:現在在更多遇到無效電子郵件地址的情況下,email.utils.getaddresses()email.utils.parseaddr() 返回 ('', '') 二元組,而不是潛在的不準確值。向這兩個函式新增可選的 strict 引數:使用 strict=False 來獲取舊的行為,接受格式錯誤的輸入。可以使用 getattr(email.utils, 'supports_strict_parsing', False) 來檢查 strict 引數是否可用。這改進了 CVE-2023-27043 的修復。
  • gh-123270:清理 zipfile.Path 中的名稱以避免無限迴圈 (gh-122905),而不會破壞使用合法字元的內容。這是 CVE-2024-8088。
  • gh-121650:現在在輸出時引用帶有嵌入換行符的 email 標頭。現在,generator 將拒絕序列化(寫入)不安全地摺疊或分隔的標頭;請參閱 verify_generated_headers。這是 CVE-2024-6923。
  • gh-119690:修復了由 _winapi.CreateFile_winapi.CreateNamedPipe 引發的審計事件中的資料型別混淆。
  • gh-116773:修復了 <_overlapped.Overlapped object at 0xXXX> still has pending operation at deallocation, the process may crash 的例項。
  • gh-112275:現在修復了在 fork 時涉及 posixmodule.cpystate.cHEAD_LOCK 的死鎖。

沒有安裝程式

根據 PEP 596 中指定的釋出日曆,Python 3.9 現在處於其生命週期的“僅安全修復”階段:3.9 分支僅接受安全修復,並且這些修復程式的釋出不定期地以僅原始碼形式進行,直到 2025 年 10 月。Python 3.9 不再接收常規的錯誤修復,並且不再為其提供二進位制安裝程式。Python 3.9.13 是 Python 3.9 的最後一個完整錯誤修復版本,帶有二進位制安裝程式。

完整變更日誌

檔案

版本 作業系統 描述 MD5 校驗和 檔案大小 GPG Sigstore
Gzip 壓縮的原始碼壓縮包 原始碼釋出 896c19e5815ba990a3d1261502ea9f83 24.9 MB SIG .sigstore
XZ 壓縮的原始碼壓縮包 原始碼釋出 bdcda0fdb99e7e17018f6886fae5e1fd 18.7 MB SIG .sigstore