Aufgrund eines Fehlers beim Organisieren des Cachings im Content Delivery System beim Versuch, eine der Assemblys herunterzuladen vorgestern Korrekturfreigabe Ein Vorschau-Build, der nicht alle Korrekturen enthält. Problem Nur Archiv , Montage richtig verteilt.
Allen Benutzern, die in den ersten 3.5.8 Stunden nach der Veröffentlichung die Datei „Python-12.tar.xz“ heruntergeladen haben, wird empfohlen, die Richtigkeit der heruntergeladenen Daten anhand der Prüfsumme (MD5 4464517ed6044bca4fc78ea9ed086c36) zu überprüfen. Im Gegensatz zur endgültigen Version enthielt die Vorschauversion keine Schwachstellen im XML-RPC-Servercode. Die Schwachstelle ermöglichte die Einschleusung von JavaScript (XSS) über das Feld „server_title“, da kein spitzes Klammer-Escapezeichen vorhanden war. Ein Angreifer könnte eine JavaScript-Ersetzung erreichen, wenn die Anwendung den Servernamen basierend auf Benutzereingaben festlegt (z. B. „server.set_server_name('test ’)»).
Source: opennet.ru