Поради грешка при организиране на кеширане в системата за доставка на съдържание, при опит за изтегляне на една от сборките ден преди вчера коригиращо издание Компилация за предварителен преглед, която не съдържа всички корекции. проблем само архив , монтаж разпределени правилно.
Всички потребители, които са изтеглили файла „Python-3.5.8.tar.xz“ през първите 12 часа след пускането, се съветват да проверят коректността на изтеглените данни, като използват контролната сума (MD5 4464517ed6044bca4fc78ea9ed086c36). За разлика от окончателното издание, версията за предварителен преглед не включва уязвимости в кода на XML-RPC сървъра. Уязвимостта позволи инжектиране на JavaScript (XSS) през полето server_title поради липсата на екраниране на ъглови скоби. Нападателят може да постигне заместване на JavaScript, ако приложението зададе името на сървъра въз основа на въвеждане от потребителя (например „server.set_server_name(‘test’)”).
Източник: opennet.ru