မှားယွင်းသောဗားရှင်းကို Python 3.5.8 အစား မှားယွင်းစွာဖြန့်ဝေခဲ့သည်။

စည်းဝေးပွဲများထဲမှ တစ်ခုကို ဒေါင်းလုဒ်လုပ်ရန် ကြိုးစားသည့်အခါ အကြောင်းအရာ ပေးပို့မှုစနစ်တွင် ကက်ရှ်ကို စုစည်းရာတွင် အမှားအယွင်းတစ်ခုကြောင့် ဖြစ်သည်။ ထုတ်ဝေခဲ့သည်။ မနေ့က ပြင်ဆင်ချက် ထုတ်ပြန်ခြင်း မတိုင်ခင်တစ်ရက် Python ကို 3.5.8 ကူးစက်ပျံ့နှံ့သည် ပြုပြင်မှုများအားလုံးကို မပါဝင်သည့် အစမ်းကြည့်ရှုမှု တည်ဆောက်မှု။ ပြဿနာ ထိတယ်။ archive အားလုံးအတွက် Python-3.5.8.tar.xz, ပရိသတ် Python-3.5.8.tgz မှန်ကန်စွာဖြန့်ဝေ။

ဖြန့်ချိပြီးနောက် ပထမ 3.5.8 နာရီအတွင်း “Python-12.tar.xz” ဖိုင်ကို ဒေါင်းလုဒ်လုပ်ခဲ့သော သုံးစွဲသူအားလုံးကို checksum (MD5 4464517ed6044bca4fc78ea9ed086c36) ကို အသုံးပြု၍ ဒေါင်းလုဒ်လုပ်ထားသောဒေတာ၏မှန်ကန်မှုကို စစ်ဆေးရန် အကြံပြုအပ်ပါသည်။ နောက်ဆုံးထွက်ရှိခြင်းနှင့်မတူဘဲ၊ အကြိုကြည့်ရှုဗားရှင်းမပါဝင်ပါ။ ဆုံးမပဲ့ပြင်ခြင်း အားနည်းချက်များ CVE-2019-16935 XML-RPC ဆာဗာကုဒ်တွင်။ ထောင့်ကွင်းပိတ် လွတ်ကင်းမှု မရှိခြင်းကြောင့် အားနည်းချက်သည် JavaScript ထိုးခြင်း (XSS) ကို server_title အကွက်သို့ ခွင့်ပြုခဲ့သည်။ အပလီကေးရှင်းသည် အသုံးပြုသူထည့်သွင်းမှုအပေါ် အခြေခံ၍ ဆာဗာအမည်ကို သတ်မှတ်ပါက တိုက်ခိုက်သူသည် JavaScript အစားထိုးမှုကို ဆောင်ရွက်နိုင်သည် (ဥပမာ၊ "server.set_server_name('test" ’)»).

source: opennet.ru