גרסה שגויה הופצה במקום Python 3.5.8 בטעות

עקב שגיאה בעת ארגון שמירה במטמון במערכת מסירת התוכן, בעת ניסיון להוריד את אחד ההרכבים יצא לאור שלשום שחרור מתקן פייתון 3.5.8 התפשטות בניית תצוגה מקדימה שאינה מכילה את כל התיקונים. בְּעָיָה נגע ארכיון בלבד Python-3.5.8.tar.xz, הרכבה Python-3.5.8.tgz מופץ נכון.

לכל המשתמשים שהורידו את הקובץ "Python-3.5.8.tar.xz" ב-12 השעות הראשונות לאחר השחרור, מומלץ לבדוק את נכונות הנתונים שהורדו באמצעות סכום הבדיקה (MD5 4464517ed6044bca4fc78ea9ed086c36). בניגוד למהדורה הסופית, גרסת התצוגה המקדימה לא כללה תיקון פגיעות CVE-2019-16935 בקוד שרת XML-RPC. הפגיעות אפשרה הזרקת JavaScript (XSS) דרך שדה server_title עקב היעדר בריחה של סוגר זווית. תוקף יכול להשיג החלפת JavaScript אם היישום מגדיר את שם השרת על סמך קלט המשתמש (לדוגמה, "server.set_server_name('test ’)»).

מקור: OpenNet.ru