Vanwege een fout bij het organiseren van caching in het contentleveringssysteem bij het downloaden van een van de assembly's eergisteren corrigerende release Een preview-build die niet alle oplossingen bevat. Probleem alleen archiveren , montage correct verdeeld.
Alle gebruikers die het bestand “Python-3.5.8.tar.xz” in de eerste 12 uur na de release hebben gedownload, worden geadviseerd om de juistheid van de gedownloade gegevens te controleren met behulp van de checksum (MD5 4464517ed6044bca4fc78ea9ed086c36). In tegenstelling tot de definitieve release bevatte de preview-versie dit niet kwetsbaarheden in de XML-RPC-servercode. De kwetsbaarheid maakte JavaScript-injectie (XSS) via het server_title-veld mogelijk vanwege het ontbreken van een escape-punthaak. Een aanvaller kan JavaScript-vervanging bewerkstelligen als de toepassing de servernaam instelt op basis van gebruikersinvoer (bijvoorbeeld 'server.set_server_name('test ’)»).
Bron: opennet.ru