Python3.9.33.8.9现已发布,由于安全修复的原因,这些版本的发布时间比计划提前了一个月,但Python3.8的最后一个完整的定期维护版本仍然计划在年5月3日发布,之后将转为只针对安全bug修复的源码发布,3.9.3也计划在年5月3日发布。
主要更新内容
3.9.33.8.9发布了OpenSSL的高严重性CVE--和CVE--修复,已经在CI中升级到1.1.1kCVE--:删除pydoc模块的getfile功能,该功能可被滥用,以读取磁盘上的任意文件(目录遍历漏洞)。此外,即使是Python模块的源代码也可能包含密码等敏感数据ftplib不再相信默认情况下服务器响应PASV命令返回的IP地址值。这可以防止恶意的FTP服务器使用响应来探测客户端网络上的IPv4地址和端口组合为gc.get_objects()、gc.get_referrers()和gc.get_referents()增加审计钩子修复将sys.stderr替换为可调用对象时发生的崩溃如果命令行参数包含一个无效的Unicode字符,Python不再在启动时出现致命错误。Py_DecodeLocale()函数现在可以转义那些在[U+;U+10ffff]范围之外的Unicode字符的字节序列修复PyErr_CheckSignals试图执行非Python信号处理程序时可能出现的竞争情况3.9.3报告SyntaxError的列偏移量,用于处理无效的续行字符修复在使用frompkg.modimportattr时对循环导入的错误检测,这在多线程代码中会导致误报改进对接近递归极限的异常的处理。转换RecursionErrors中的一些FatalErrors3.8.9修复将ssl.SSLContext.sni_callback()与ssl.SSLContext调试回调一起使用时的死锁修复了smtplib.SMTP中长期存在的错误,即在initial_response_ok=False的情况下进行AUTHLOGIN会失败详情请查看更新公告。