Python Insiderは現地時間3月19日、Python 3.10.14、3.9.19、3.8.19 のリリースについて発表した。
Python 3.10.14 は前回のリリースから26のコミットが、Python 3.9.19 は前回のリリースから26のコミットが、Python 3.8.19 は前回のリリースから28のコミットがある。
今回のリリースでのセキュリティ内容は下記の通り。
・gh-115399 & gh-115398:バンドルされている libexpat を 2.6.0 に更新し、CVE-2023-52425 に対処。
・gh-109858:CVE-2024-0450 に対処するため、zipfile が "quoted-overlap" zipbomb から保護されるようになった。他のエントリやセントラルディレクトリと重複するエントリを読み込もうとした場合に BadZipFile を発生するようになった。
・gh-91133:CVE-2023-6597 に対処するため、ファイルシステムのパーミッションエラーを回避する際に tempfile.TemporaryDirectory のクリーンアップがシンボリックリンクを参照しないようになった。
・gh-115197:macOS と Windows で、urllib.request がシステムのプロキシ回避リストと照合する前にホスト名を解決しないようになった。
・gh-81194:socket.if_indextoname() で特定の値(UINT_MAX)を指定するとクラッシュする問題を修正。関連して64ビット Windows 以外のプラットフォームにおける socket.if_indextoname() の整数オーバーフローを修正。
・gh-113659:.pth ファイルがドットで始まるか、隠しファイル属性を含む場合、 ファイルをスキップするようになった。
・gh-102388:iso2022_jp_3 および iso2022_jp_2004 コーデックが境界外から読み込まれないようになった。
・gh-114572:ssl.SSLContext.cert_store_stats() および ssl.SSLContext.get_ca_certs() で、 ssl.SSLContext が複数のスレッドで共有されている場合に、 証明書ストアへのアクセスを正しくロックするようになった。
Python Insiderでは、影響を受けるバージョンを使用している場合はアップグレードを強く推奨している。
