مواد کی ترسیل کے نظام میں کیشنگ کو منظم کرتے وقت، اسمبلیوں میں سے کسی ایک کو ڈاؤن لوڈ کرنے کی کوشش کرتے وقت غلطی کی وجہ سے کل اصلاحی رہائی سے ایک دن پہلے ایک پیش نظارہ تعمیر جس میں تمام اصلاحات شامل نہیں ہیں۔ مسئلہ صرف محفوظ شدہ دستاویزات ، اسمبلی صحیح طریقے سے تقسیم کیا.
ریلیز کے بعد پہلے 3.5.8 گھنٹوں میں "Python-12.tar.xz" فائل ڈاؤن لوڈ کرنے والے تمام صارفین کو مشورہ دیا جاتا ہے کہ وہ چیکسم (MD5 4464517ed6044bca4fc78ea9ed086c36) کا استعمال کرتے ہوئے ڈاؤن لوڈ کردہ ڈیٹا کی درستگی کو چیک کریں۔ حتمی ریلیز کے برعکس، پیش نظارہ ورژن شامل نہیں تھا۔ کمزوریاں XML-RPC سرور کوڈ میں۔ زاویہ بریکٹ سے فرار نہ ہونے کی وجہ سے خطرے نے سرور_ٹائٹل فیلڈ کے ذریعے JavaScript انجیکشن (XSS) کی اجازت دی۔ اگر ایپلیکیشن صارف کے ان پٹ کی بنیاد پر سرور کا نام سیٹ کرتی ہے تو حملہ آور JavaScript کا متبادل حاصل کر سکتا ہے (مثال کے طور پر، "server.set_server_name('test')")۔
ماخذ: opennet.ru