Fanwege in flater by it organisearjen fan caching yn it ynhâldferlieningssysteem, by it besykjen om ien fan 'e gearkomsten te downloaden de dei foar juster korrektive release In foarbyldbou dy't net alle reparaasjes befettet. Probleem allinne argyf , gearstalling korrekt ferdield.
Alle brûkers dy't it bestân "Python-3.5.8.tar.xz" yn 'e earste 12 oeren nei de frijlitting ynladen hawwe, wurde advisearre om de krektens fan' e ynladen gegevens te kontrolearjen mei de kontrôlesum (MD5 4464517ed6044bca4fc78ea9ed086c36). Oars as de definitive release omfette de foarbyldferzje net kwetsberens yn de XML-RPC-tsjinnerkoade. De kwetsberens tastien JavaScript-ynjeksje (XSS) fia it fjild server_title fanwegen it ûntbrekken fan hoekbeugel. In oanfaller kin JavaScript-substitúsje berikke as de applikaasje de tsjinnernamme ynstelt op basis fan brûkersynfier (bygelyks "server.set_server_name('test ’)»).
Boarne: opennet.ru