Debido a un error al organizar el almacenamiento en caché en el sistema de entrega de contenido, al intentar descargar uno de los ensamblados anteayer lanzamiento correctivo Una versión preliminar que no contiene todas las correcciones. Problema solo archivar , asamblea distribuido correctamente.
Se recomienda a todos los usuarios que descargaron el archivo “Python-3.5.8.tar.xz” en las primeras 12 horas después del lanzamiento que verifiquen la exactitud de los datos descargados utilizando la suma de verificación (MD5 4464517ed6044bca4fc78ea9ed086c36). A diferencia de la versión final, la versión preliminar no incluía vulnerabilidades en el código del servidor XML-RPC. La vulnerabilidad permitió la inyección de JavaScript (XSS) a través del campo server_title debido a la falta de escape del corchete angular. Un atacante podría lograr la sustitución de JavaScript si la aplicación establece el nombre del servidor según la entrada del usuario (por ejemplo, "server.set_server_name('test ’)»).
Fuente: opennet.ru