İçerik dağıtım sisteminde önbelleğe alma işlemini düzenlerken, derlemelerden birini indirmeye çalışırken oluşan bir hata nedeniyle dünden önceki gün düzeltici yayın Tüm düzeltmeleri içermeyen bir önizleme yapısı. Sorun yalnızca arşivle , toplantı doğru şekilde dağıtıldı.
“Python-3.5.8.tar.xz” dosyasını yayınlandıktan sonraki ilk 12 saat içinde indiren tüm kullanıcılara, sağlama toplamını (MD5 4464517ed6044bca4fc78ea9ed086c36) kullanarak indirilen verilerin doğruluğunu kontrol etmeleri önerilir. Son sürümün aksine, önizleme sürümü şunları içermiyordu: güvenlik açıkları XML-RPC sunucu kodunda. Güvenlik açığı, köşeli ayraçtan kaçış özelliğinin olmaması nedeniyle, sunucu_başlığı alanı üzerinden JavaScript enjeksiyonuna (XSS) izin verdi. Uygulamanın sunucu adını kullanıcı girişine göre ayarlaması durumunda saldırgan, JavaScript değişikliği gerçekleştirebilir (örneğin, "server.set_server_name('test) ’)»).
Kaynak: opennet.ru
