En raison d'une erreur lors de l'organisation de la mise en cache dans le système de diffusion de contenu, lors de la tentative de téléchargement d'un des assemblys avant-hier version corrective Une version préliminaire qui ne contient pas tous les correctifs. Problème archiver uniquement , assemblée distribué correctement.
Il est conseillé à tous les utilisateurs qui ont téléchargé le fichier « Python-3.5.8.tar.xz » dans les 12 heures suivant la sortie de vérifier l'exactitude des données téléchargées à l'aide de la somme de contrôle (MD5 4464517ed6044bca4fc78ea9ed086c36). Contrairement à la version finale, la version préliminaire n'incluait pas vulnérabilités dans le code du serveur XML-RPC. La vulnérabilité permettait l'injection de JavaScript (XSS) via le champ server_title en raison de l'absence d'échappement de crochet angulaire. Un attaquant pourrait réaliser une substitution JavaScript si l'application définit le nom du serveur en fonction de l'entrée de l'utilisateur (par exemple, "server.set_server_name('test ’)»).
Source: opennet.ru