पायथॉन 3.5.8 के बजाय, गलती से एक गलत संस्करण वितरित किया गया था

किसी असेंबली को डाउनलोड करने का प्रयास करते समय, सामग्री वितरण प्रणाली में कैशिंग व्यवस्थित करते समय त्रुटि के कारण प्रकाशित परसों सुधारात्मक विज्ञप्ति अजगर 3.5.8 फैला हुआ एक पूर्वावलोकन बिल्ड जिसमें सभी फ़िक्सेस शामिल नहीं हैं। संकट को छुआ केवल संग्रहित करें पायथन-3.5.8.tar.xz, विधानसभा पायथन-3.5.8.tgz सही ढंग से वितरित किया गया।

रिलीज़ के बाद पहले 3.5.8 घंटों में "पायथन-12.tar.xz" फ़ाइल डाउनलोड करने वाले सभी उपयोगकर्ताओं को चेकसम (MD5 4464517ed6044bca4fc78ea9ed086c36) का उपयोग करके डाउनलोड किए गए डेटा की शुद्धता की जांच करने की सलाह दी जाती है। अंतिम रिलीज़ के विपरीत, पूर्वावलोकन संस्करण शामिल नहीं था भूल सुधार कमजोरियों CVE-2019-16935 XML-RPC सर्वर कोड में। कोण ब्रैकेट से बचने की कमी के कारण भेद्यता ने सर्वर_टाइटल फ़ील्ड के माध्यम से जावास्क्रिप्ट इंजेक्शन (XSS) की अनुमति दी। यदि एप्लिकेशन उपयोगकर्ता इनपुट के आधार पर सर्वर नाम सेट करता है (उदाहरण के लिए, "server.set_server_name('test')") तो एक हमलावर जावास्क्रिप्ट प्रतिस्थापन प्राप्त कर सकता है।

स्रोत: opennet.ru