Dahil sa isang error kapag nag-aayos ng pag-cache sa sistema ng paghahatid ng nilalaman, kapag sinusubukang i-download ang isa sa mga pagtitipon ang araw bago ang kahapon corrective release Isang preview build na hindi naglalaman ng lahat ng pag-aayos. Problema archive lang , pagpupulong naipamahagi nang tama.
Ang lahat ng mga user na nag-download ng file na βPython-3.5.8.tar.xzβ sa unang 12 oras pagkatapos ng release ay pinapayuhan na suriin ang kawastuhan ng na-download na data gamit ang checksum (MD5 4464517ed6044bca4fc78ea9ed086c36). Hindi tulad ng huling release, ang preview na bersyon ay hindi kasama mga kahinaan sa XML-RPC server code. Pinahintulutan ng kahinaan ang JavaScript injection (XSS) sa pamamagitan ng server_title field dahil sa kakulangan ng angle bracket escaping. Maaaring makamit ng isang attacker ang pagpapalit ng JavaScript kung itatakda ng application ang pangalan ng server batay sa input ng user (halimbawa, "server.set_server_name('test β)Β»).
Pinagmulan: opennet.ru