今回は、Pythonのアップデートがきていたので、それについて書いてみようと思います。
Python をアップデートしよう(3.8.5)
最新バージョンを確認する。
本家サイトに行きます。
赤枠内を見ると「Python 3.8.5」がダウンロードできることがわかります。
1週間たらずでリビジョンアップがきました。インストール後アップデート内容も見ていきたいと思います。
ダウンロード
- 上のメニューから [ Download ] > [ Windows ] > [ Python 3.8.5 ] を選択します。
- python-3.8.5.exe がダウンロードされます。
上書きインストール
- すでに3.8.4が入っている環境に3.8.5を上書きインストールします。
- 本バージョンからメニューが変わっています。前バージョンまでは、前バージョンが入っていても、Installとなっていました、Upgradeになっています。また、Add Python 3.8 to PATH」にチェックを入れるというもなくなっています。
今回は、「Upgrade Now」を選択します。 - ユーザアカウント制御画面も表示されず、インストールがはじまりました。システム領域へのインストールはないということかな?
- 「Close」を選択します。まったく無駄のないアップグレードでした。
これでインストール完了です。
アップデート内容を確認します。
例によって日本語サイトがないので、日本語翻訳していきます。
アップデート内容
3.8.4からの変更なので、3.8.5 Final の更新内容になります。
Pythonの3.8.5 Final
リリース日:2020-07-20
セキュリティ
- bpo-41305:BPO-29778の修正によって、Windowsでpython3x._pth が無視されるのを修正しました。Windows 版 Python に隔離モードにならない問題を修正しました。(CVE-2020-15801)。
- bpo-39603:http.client.putrequest(…)で制御文字をリジェクトして、httpヘッダーインジェクションを防ぎます。
コアとビルトイン
- bpo-41295:CPython 3.8.4のリグレッションを修正します。builtins/extension タイプがベースタイプに含まれている場合、マルチ継承セットアップで「__setattr__」を定義し、階層チェーンを呼び出すことができませんでした。
ライブラリ
- bpo-41288:C実装を使用して無効なNEWOBJ_EXオペコードをunpicklingすると、クラッシュする代わりにUnpicklingErrorが発生するようにしました。
- bpo-39017:tarfileモジュールを使用して特別に細工されたTARファイルを読み取った時の無限ループを回避します。(CVE-2019-20907)
Documentation
- bpo-37703:gather.cancel()の動作を包括かつ詳細にドキュメントの内容を更新しました。
ビルド
- bpo-41302:Linuxディストリビューションのメンテナンスを容易にするため libmpdec-2.5.0 で Python 3.8 をビルドできるようにします。Felix Yan によってパッチされました。
macOS
- bpo-40741:SQLite 3.32.3 を使用するように macOS インストーラーを更新しました。
IDLE
- bpo-41300:ASCII 以外の文字でファイルを保存します。3.9.0b4 および 3.8.4 でリリースされたリグレッションを修正しました。
CVEベースで以下の2件の脆弱性が修正されています。詳しく見てみます。
CVE-2019-20907
重要度 : 重要( CVSSv3.1 : 7.5)
内容:tarfile.py の _proc_pax のヘッダ検証が不十分な脆弱性
危険性 : 3.8.3 までの Python の Lib / tarfile.py では、_proc_paxにヘッダーの検証がないため、攻撃者は tarfile.open で開いたときに無限ループにつながるTARアーカイブを作成できます。攻撃者が細工した tar ファイルを tarfile モジュールを使用してそれを開くサービスに送信できる場合、無限ループが実行され、サービス拒否を引き起こす可能性があります。
CVE-2020-15801
重要度 : 緊急( CVSSv3.1 : 9.8)
内容:Python 3.8.4 の Python38._pth 特権の昇格の脆弱性
危険性 : この脆弱性によって、ファイルpython38._pthの不明な処理の影響を受けます。不明な入力での操作は、権限昇格の脆弱性につながります。CWEを使用して問題を宣言すると、CWE-269が発生します。影響を受けるのは、機密性、完全性、可用性です。
まとめ
セキュリティ修正が入っています。しかも緊急という内容なので、すぐにアップデートしておきたいですね。9.8の高スコアって久しぶりにみました。
参考情報
Changelog — Python 3.8.5 documentation
Welcome to Python.org
0 件のコメント:
コメントを投稿