З-за памылкі пры арганізацыі кэшавання ў сістэме дастаўкі кантэнту, пры спробе загрузкі адной са зборак пазаўчора які карэктуе выпуску папярэдняя зборка, якая не змяшчае ўсіх выпраўленняў. Праблема толькі архіў , зборка распаўсюджвалася карэктна.
Усім карыстачам, якія загружалі файл "Python-3.5.8.tar.xz" у першыя 12 гадзін пасля рэлізу, рэкамендуецца праверыць карэктнасць загружаных дадзеных па кантрольнай суме (MD5 4464517ed6044bca4fc78ea9ed086c36). У адрозненне ад фінальнага рэлізу папярэдняя версія не ўключала уразлівасці у кодзе сервера XML-RPC. Уразлівасць дапушчала падстаноўку JavaScript-кода (XSS) праз поле server_title з-за адсутнасці экранавання кутніх дужак. Атакуючы мог дамагчыся падстаноўкі JavaScript-кода ў выпадку, калі прыкладанне ажыццяўляе ўсталёўку імя сервера на аснове карыстацкага ўводу (напрыклад, «server.set_server_name('test ’)»).
Крыніца: opennet.ru