به دلیل خطا در هنگام سازماندهی کش در سیستم تحویل محتوا، هنگام تلاش برای دانلود یکی از مجموعه ها انتشار اصلاحی روز قبل از دیروز یک ساخت پیش نمایش که شامل تمام اصلاحات نیست. مسئله فقط بایگانی ، مونتاژ به درستی توزیع شده است.
به همه کاربرانی که فایل «Python-3.5.8.tar.xz» را در 12 ساعت اول پس از انتشار دانلود کردهاند، توصیه میشود که صحت دادههای دانلود شده را با استفاده از چکسام (MD5 4464517ed6044bca4fc78ea9ed086c36) بررسی کنند. بر خلاف نسخه نهایی، نسخه پیش نمایش شامل نمی شود آسیب پذیری ها در کد سرور XML-RPC. این آسیبپذیری اجازه تزریق جاوا اسکریپت (XSS) را از طریق قسمت server_title به دلیل عدم وجود براکت زاویه داد. مهاجم می تواند جایگزین جاوا اسکریپت شود اگر برنامه نام سرور را بر اساس ورودی کاربر تنظیم کند (به عنوان مثال، "server.set_server_name('test ’)»).
منبع: opennet.ru