ニュース

2件の脆弱性に対処した「Python 3.8.8/3.9.2」が公開 ~要望を受けて前倒しリリース

今後はマイナーバージョンアップでRC版を提供せず。隔月でのアップデートを提供

「Python 3.9.2」が公開

 「Python 3.9.2」および「Python 3.8.8」が、2月19日に公開された。予定を前倒ししてのリリースとなる。

 本バージョンでは、“CVE-2021-3177”と“CVE-2021-23336”という2件の脆弱性が修正された。とくに“CVE-2021-3177”は以前よりサービス拒否(DoS)を引き起されたり、任意のコードが実行されてしまう(RCE)可能性があると指摘されていたものだ。すでにサポートの切れた「Python 2」にも影響する。

 これらの脆弱性は「Python 3.6」「Python 3.7」ですでに修正されていたにもかかわらず、「Python 3.8」「Python 3.9」ではリリース候補(RC)版が提供されるにとどまっていた。開発チームはセキュリティ修正が必要な環境ではRC版が利用されるものだと考えていたようだが、正式版の公開を望む声が多く寄せられたことから、予定を繰り上げてリリースを行ったという。今後はバグフィックスリリースではRC版をリリースせず、“3.x.0”の最終リリース以降は隔月でアップデートを提供するとのこと。

 なお、“CVE-2021-3177”はDoSやRCEにつながる可能性があるが、RCEに悪用するには少々複雑な手順が必要で、むしろ脅威となるのはDoSの方だという。しかし、サービスを利用不能に陥れるDoSも十分深刻な問題なので、できるだけ早いアップデートをお勧めする。

 また、「Python 3.8」は5月上旬のメンテナンスリリースを最後に、バグフィックスリリースに移行する。バイナリの提供は終了し、ソースコードのみの提供となるので注意したい。「Python 3.9」の次期メンテナンスリリースは、5月初めが予定されている。