Python をアップデートしよう ( 3.8.5 )

2020年7月21日火曜日

Linux Mac Python Windows

t f B! P L

今回は、Pythonのアップデートがきていたので、それについて書いてみようと思います。


Python をアップデートしよう(3.8.5)

最新バージョンを確認する。


本家サイトに行きます。



赤枠内を見ると「Python 3.8.5」がダウンロードできることがわかります。

1週間たらずでリビジョンアップがきました。インストール後アップデート内容も見ていきたいと思います。

ダウンロード

  1. 上のメニューから [ Download ] > [ Windows ] > [ Python 3.8.5 ] を選択します。

  2. python-3.8.5.exe がダウンロードされます。

上書きインストール

  1. すでに3.8.4が入っている環境に3.8.5を上書きインストールします。

  2. 本バージョンからメニューが変わっています。前バージョンまでは、前バージョンが入っていても、Installとなっていました、Upgradeになっています。また、Add Python 3.8 to PATH」にチェックを入れるというもなくなっています。
    今回は、「Upgrade Now」を選択します。

  3. ユーザアカウント制御画面も表示されず、インストールがはじまりました。システム領域へのインストールはないということかな?

  4. 「Close」を選択します。まったく無駄のないアップグレードでした。

これでインストール完了です。

アップデート内容を確認します。

例によって日本語サイトがないので、日本語翻訳していきます。
アップデート内容
3.8.4からの変更なので、3.8.5 Final の更新内容になります。

Pythonの3.8.5 Final


リリース日:2020-07-20
セキュリティ
  • bpo-41305:BPO-29778の修正によって、Windowsでpython3x._pth が無視されるのを修正しました。Windows 版 Python に隔離モードにならない問題を修正しました。(CVE-2020-15801)。
  • bpo-39603:http.client.putrequest(…)で制御文字をリジェクトして、httpヘッダーインジェクションを防ぎます。

コアとビルトイン
  • bpo-41295:CPython 3.8.4のリグレッションを修正します。builtins/extension タイプがベースタイプに含まれている場合、マルチ継承セットアップで「__setattr__」を定義し、階層チェーンを呼び出すことができませんでした。

ライブラリ
  • bpo-41288:C実装を使用して無効なNEWOBJ_EXオペコードをunpicklingすると、クラッシュする代わりにUnpicklingErrorが発生するようにしました。
  • bpo-39017:tarfileモジュールを使用して特別に細工されたTARファイルを読み取った時の無限ループを回避します。(CVE-2019-20907)

Documentation
  • bpo-37703:gather.cancel()の動作を包括かつ詳細にドキュメントの内容を更新しました。

ビルド
  • bpo-41302:Linuxディストリビューションのメンテナンスを容易にするため libmpdec-2.5.0 で Python 3.8 をビルドできるようにします。Felix Yan によってパッチされました。

macOS
  • bpo-40741:SQLite 3.32.3 を使用するように macOS インストーラーを更新しました。

IDLE
  • bpo-41300:ASCII 以外の文字でファイルを保存します。3.9.0b4 および 3.8.4 でリリースされたリグレッションを修正しました。

CVEベースで以下の2件の脆弱性が修正されています。詳しく見てみます。

CVE-2019-20907

重要度 : 重要( CVSSv3.1 : 7.5)
内容:tarfile.py の _proc_pax のヘッダ検証が不十分な脆弱性
危険性 : 3.8.3 までの Python の Lib / tarfile.py では、_proc_paxにヘッダーの検証がないため、攻撃者は tarfile.open で開いたときに無限ループにつながるTARアーカイブを作成できます。攻撃者が細工した tar ファイルを tarfile モジュールを使用してそれを開くサービスに送信できる場合、無限ループが実行され、サービス拒否を引き起こす可能性があります。

CVE-2020-15801

重要度 : 緊急( CVSSv3.1 : 9.8)
内容:Python 3.8.4 の Python38._pth 特権の昇格の脆弱性
危険性 : この脆弱性によって、ファイルpython38._pthの不明な処理の影響を受けます。不明な入力での操作は、権限昇格の脆弱性につながります。CWEを使用して問題を宣言すると、CWE-269が発生します。影響を受けるのは、機密性、完全性、可用性です。

まとめ

セキュリティ修正が入っています。しかも緊急という内容なので、すぐにアップデートしておきたいですね。9.8の高スコアって久しぶりにみました。

参考情報

Changelog — Python 3.8.5 documentation
Welcome to Python.org

このブログを検索

カテゴリ

Windows (87) Mac (52) ゲーム (34) Linux (30) ブログ (25) iPhone (15) VMware (14) Blogger (10) Android (5) Python (4) HTML (3)

ブログ アーカイブ

書いている人

自分の写真
ブログ初心者です。2020/03 からBlogger ではじめました。

・調べたこと
・うまくいったこと
・うまくいかなかったこと

をありのままを書いて、見てくださっている方の近道・回り道の道しるべになれればと思っています。