కంటెంట్ డెలివరీ సిస్టమ్లో కాషింగ్ని ఆర్గనైజ్ చేస్తున్నప్పుడు లోపం కారణంగా, అసెంబ్లీలలో ఒకదాన్ని డౌన్లోడ్ చేయడానికి ప్రయత్నిస్తున్నప్పుడు నిన్నటికి ముందు రోజు దిద్దుబాటు విడుదల అన్ని పరిష్కారాలను కలిగి లేని ప్రివ్యూ బిల్డ్. సమస్య ఆర్కైవ్ మాత్రమే , అసెంబ్లీ సరిగ్గా పంపిణీ చేయబడింది.
"Python-3.5.8.tar.xz" ఫైల్ను విడుదల చేసిన మొదటి 12 గంటల్లో డౌన్లోడ్ చేసిన వినియోగదారులందరూ చెక్సమ్ (MD5 4464517ed6044bca4fc78ea9ed086c36) ఉపయోగించి డౌన్లోడ్ చేసిన డేటా యొక్క ఖచ్చితత్వాన్ని తనిఖీ చేయాలని సూచించారు. చివరి విడుదల వలె కాకుండా, ప్రివ్యూ వెర్షన్ చేర్చబడలేదు దుర్బలత్వాలు XML-RPC సర్వర్ కోడ్లో. యాంగిల్ బ్రాకెట్ ఎస్కేపింగ్ లేకపోవడం వల్ల దుర్బలత్వం సర్వర్_టైటిల్ ఫీల్డ్ ద్వారా JavaScript ఇంజెక్షన్ (XSS)ని అనుమతించింది. వినియోగదారు ఇన్పుట్ ఆధారంగా అప్లికేషన్ సర్వర్ పేరును సెట్ చేస్తే దాడి చేసే వ్యక్తి JavaScript ప్రత్యామ్నాయాన్ని సాధించగలడు (ఉదాహరణకు, "server.set_server_name('test). ’)»).
మూలం: opennet.ru