بسبب خطأ عند تنظيم التخزين المؤقت في نظام تسليم المحتوى، عند محاولة تنزيل أحد التجميعات أول من أمس الإصدار التصحيحي نسخة معاينة لا تحتوي على كافة الإصلاحات. مشكلة الأرشيف فقط ، حَشد توزيعها بشكل صحيح.
يُنصح جميع المستخدمين الذين قاموا بتنزيل الملف "Python-3.5.8.tar.xz" في أول 12 ساعة بعد الإصدار بالتحقق من صحة البيانات التي تم تنزيلها باستخدام المجموع الاختباري (MD5 4464517ed6044bca4fc78ea9ed086c36). على عكس الإصدار النهائي، لم يتضمن إصدار المعاينة نقاط الضعف في رمز خادم XML-RPC. سمحت الثغرة الأمنية بإدخال JavaScript (XSS) من خلال حقل server_title بسبب عدم وجود قوس زاوية للهروب. يمكن للمهاجم تحقيق استبدال JavaScript إذا قام التطبيق بتعيين اسم الخادم بناءً على إدخال المستخدم (على سبيل المثال، "server.set_server_name('test) ’)»).
المصدر: opennet.ru