På grunn av en feil ved organisering av caching i innholdsleveringssystemet, når du prøver å laste ned en av sammenstillingene i forgårs korrigerende utgivelse En forhåndsvisningsbygg som ikke inneholder alle rettelsene. Problem kun arkiv , montering fordelt riktig.
Alle brukere som lastet ned filen "Python-3.5.8.tar.xz" i løpet av de første 12 timene etter utgivelsen, anbefales å sjekke riktigheten av de nedlastede dataene ved å bruke kontrollsummen (MD5 4464517ed6044bca4fc78ea9ed086c36). I motsetning til den endelige utgivelsen, inkluderte ikke forhåndsversjonen sårbarheter i XML-RPC-serverkoden. Sårbarheten tillot JavaScript-injeksjon (XSS) gjennom server_title-feltet på grunn av mangelen på vinkelbrakett. En angriper kan oppnå JavaScript-erstatning hvis applikasjonen angir servernavnet basert på brukerinndata (for eksempel "server.set_server_name('test ’)»).
Kilde: opennet.ru