עדכון Python 3.8.5 עם פגיעויות שתוקנו

Опубликовано עדכון מתקן של שפת התכנות Python 3.8.5, שבה חוסלו מספר נקודות תורפה:

• CVE-2019-20907 - לולאה של מודול tarfile כאשר מנסים לפתוח קבצים שעוצבו במיוחד בפורמט tar.
• BPO-41288 - קריסה כאשר מודול Pickle מנסה לעבד אובייקטים עם קוד אופציה שתוכנן במיוחד NEWOBJ_EX.
• CVE-2020-15801 - היכולת להחליף את כותרות ה-HTTP בבקשה באמצעות שימוש בתווי שורה חדשה בפרמטר "שיטה" של מודול http.client. לדוגמה: conn.request(method=”GET / HTTP/1.1\r\nמארח: abc\r\nשארית:”, url=”/index.html”). הפגיעות תוקנה בעבר, אך לא כיסתה את האבטחה של שיטת http.client.putrequest.

מקור: OpenNet.ru