Через помилку при організації кешування в системі доставки контенту, при спробі завантаження однієї зі збірок позавчора коригувального випуску попереднє складання, що не містить усіх виправлень. Проблема тільки архів , складання поширювалася коректно.
Всім користувачам, які завантажували файл "Python-3.5.8.tar.xz" в перші 12 годин після релізу, рекомендується перевірити коректність завантажених даних по контрольній сумі (MD5 4464517ed6044bca4fc78ea9ed086c36). На відміну від фінального релізу, попередня версія не включала уразливості у коді сервера XML-RPC. Вразливість допускала підстановку JavaScript-коду (XSS) через поле server_title через відсутність екранування кутових дужок. Атакуючий міг домогтися підстановки JavaScript-коду у випадку, якщо програма здійснює встановлення імені сервера на основі введення користувача (наприклад, «server.set_server_name('test ’)»).
Джерело: opennet.ru