Hiba a tartalomszolgáltató rendszerben a gyorsítótárazás megszervezése során, amikor megpróbálta letölteni az egyik szerelvényt tegnapelőtt korrekciós kiadás Egy előnézeti build, amely nem tartalmazza az összes javítást. Probléma csak archívum , összeszerelés helyesen elosztva.
Minden felhasználónak, aki a kiadást követő első 3.5.8 órában letöltötte a „Python-12.tar.xz” fájlt, javasoljuk, hogy ellenőrizze a letöltött adatok helyességét az ellenőrző összeg segítségével (MD5 4464517ed6044bca4fc78ea9ed086c36). A végleges kiadással ellentétben az előzetes verzió nem tartalmazta sebezhetőségek az XML-RPC szerver kódjában. A biztonsági rés lehetővé tette a JavaScript injekció (XSS) beadását a server_title mezőn keresztül a szögletes zárójelek kilépésének hiánya miatt. A támadó elérheti a JavaScript helyettesítését, ha az alkalmazás a kiszolgáló nevét a felhasználói bevitel alapján állítja be (például "server.set_server_name('test" ’)»).
Forrás: opennet.ru