Из-за ошибки при организации кэширования в системе доставки контента, при попытке загрузки одной из сборок позавчера корректирующего выпуска предварительная сборка, не содержащая всех исправлений. Проблема только архив , сборка распространялась корректно.
Всем пользователям, загружавшим файл «Python-3.5.8.tar.xz» в первые 12 часов после релиза, рекомендуется проверить корректность загруженных данных по контрольной сумме (MD5 4464517ed6044bca4fc78ea9ed086c36). В отличие от финального релиза предварительная версия не включала whakaraeraetanga в коде сервера XML-RPC. Уязвимость допускала подстановку JavaScript-кода (XSS) через поле server_title из-за отсутствия экранирования угловых скобок. Атакующий мог добиться подстановки JavaScript-кода в случае, если приложение осуществляет установку имени сервера на основе пользовательского ввода (например, «server.set_server_name(‘test<script>’)»).
Source: opennet.ru