เนื่องจากเกิดข้อผิดพลาดเมื่อจัดระเบียบแคชในระบบการจัดส่งเนื้อหา เมื่อพยายามดาวน์โหลดหนึ่งในแอสเซมบลี วันก่อนการประกาศแก้ไขเมื่อวานนี้ รุ่นตัวอย่างที่ไม่มีการแก้ไขทั้งหมด ปัญหา เก็บถาวรเท่านั้น , การประกอบ กระจายอย่างถูกต้อง
ผู้ใช้ทุกคนที่ดาวน์โหลดไฟล์ “Python-3.5.8.tar.xz” ในช่วง 12 ชั่วโมงแรกหลังการเปิดตัว ควรตรวจสอบความถูกต้องของข้อมูลที่ดาวน์โหลดโดยใช้เช็คซัม (MD5 4464517ed6044bca4fc78ea9ed086c36) ต่างจากรุ่นสุดท้าย เวอร์ชันตัวอย่างไม่รวมอยู่ด้วย ช่องโหว่ ในโค้ดเซิร์ฟเวอร์ XML-RPC ช่องโหว่นี้อนุญาตให้มีการแทรก JavaScript (XSS) ผ่านฟิลด์ server_title เนื่องจากไม่มีการหลีกวงเล็บมุม ผู้โจมตีสามารถบรรลุการทดแทน JavaScript หากแอปพลิเคชันตั้งชื่อเซิร์ฟเวอร์ตามอินพุตของผู้ใช้ (เช่น "server.set_server_name('test ’)»).
ที่มา: opennet.ru