Z powodu błędu podczas organizowania buforowania w systemie dostarczania treści podczas próby pobrania jednego z zestawów dzień przed wczorajszą wersją korygującą Wersja zapoznawcza, która nie zawiera wszystkich poprawek. Problem tylko archiwum , montaż rozprowadzane prawidłowo.
Wszystkim użytkownikom, którzy pobrali plik „Python-3.5.8.tar.xz” w ciągu pierwszych 12 godzin od jego udostępnienia, zaleca się sprawdzenie poprawności pobranych danych za pomocą sumy kontrolnej (MD5 4464517ed6044bca4fc78ea9ed086c36). W przeciwieństwie do wersji ostatecznej, wersja zapoznawcza nie zawierała luki w zabezpieczeniach w kodzie serwera XML-RPC. Luka umożliwiała wstrzyknięcie kodu JavaScript (XSS) przez pole tytuł_serwera ze względu na brak możliwości ucieczki nawiasów ostrych. Osoba atakująca może dokonać podstawienia JavaScript, jeśli aplikacja ustawi nazwę serwera na podstawie danych wprowadzonych przez użytkownika (na przykład „server.set_server_name('test ’)»).
Źródło: opennet.ru