Kontentni etkazib berish tizimida keshlashni tashkil qilishda, yig'ilishlardan birini yuklab olishga urinayotganda xatolik tufayli kechagi tuzatuvchi relizdan bir kun oldin Barcha tuzatishlarni o'z ichiga olmaydi, oldindan ko'rish tuzilishi. Muammo faqat arxiv , yig'ish to'g'ri taqsimlangan.
Chiqarilgandan keyingi dastlabki 3.5.8 soat ichida "Python-12.tar.xz" faylini yuklab olgan barcha foydalanuvchilarga nazorat summasi (MD5 4464517ed6044bca4fc78ea9ed086c36) yordamida yuklab olingan ma'lumotlarning to'g'riligini tekshirish tavsiya etiladi. Yakuniy versiyadan farqli o'laroq, oldindan ko'rish versiyasi o'z ichiga olmagan zaifliklar XML-RPC server kodida. Zaiflik server_title maydoni orqali JavaScript in'ektsiyasiga (XSS) ruxsat berdi, chunki burchakli qavsdan qochish mumkin edi. Agar ilova foydalanuvchi kiritgan maΚΌlumotlar asosida server nomini oΚ»rnatsa, tajovuzkor JavaScript-ni almashtirishga erisha oladi (masalan, βserver.set_server_name('test) β)Β»).
Manba: opennet.ru