På grund av ett fel vid organisering av cachning i innehållsleveranssystemet, när man försöker ladda ner en av sammansättningarna i förrgår korrigerande meddelande En förhandsversion som inte innehåller alla korrigeringar. Problem endast arkiv , hopsättning rätt fördelat.
Alla användare som laddade ner filen "Python-3.5.8.tar.xz" under de första 12 timmarna efter utgivningen rekommenderas att kontrollera att de nedladdade uppgifterna är korrekta med hjälp av kontrollsumman (MD5 4464517ed6044bca4fc78ea9ed086c36). Till skillnad från den slutliga versionen inkluderade inte förhandsversionen sårbarheter i XML-RPC-serverkoden. Sårbarheten tillät JavaScript-injektion (XSS) genom fältet server_title på grund av att vinkelparentesen saknades. En angripare kan uppnå JavaScript-ersättning om applikationen ställer in servernamnet baserat på användarinmatning (till exempel "server.set_server_name('test ’)»).
Källa: opennet.ru