Обновление Python 3.8.5 с устранением уязвимостей

Опубликовано корректирующее обновление языка программирования Python 3.8.5, в котором устранено несколько уязвимостей:

  • CVE-2019–20907 — зацикливание модуля tarfile при попытке открытия специально оформленных файлов в формате tar.
  • BPO-41288 — крах при попытке обработки модулем Pickle объектов со специально оформленным опкодом NEWOBJ_EX.
  • CVE-2020–15801 — возможность подстановки HTTP-заголовков в запрос через использование символов перевода строки в параметре «method» модуля http.client. Например: conn.request (method=«GET / HTTP/1.1\r\nHost: abc\r\nRemainder:», url=»/index.html»). Уязвимость была устранена ранее, но не охватывала защиту метода http.client.putrequest.



Источник: http://www.opennet.ru/opennews/art.shtml? num=53405

© OpenNet