ニュース

「Python」にセキュリティアップデート ~4件の脆弱性を修正

v3.10.8、v3.9.15、v3.8.15、v3.7.15が公開

2022年10月12日 15:00

「Python 3.10.8」が公開

 スクリプト言語「Python」のセキュリティアップデートが、10月11日に実施された。現在、以下のバージョンが利用可能。

  • 3.10.8
  • 3.9.15
  • 3.8.15
  • 3.7.15

 「Python」は1年おきのメジャーアップデートと2カ月おきのマイナーアップデートを実施しており、「Python 3.10.8」は定例のリリースとなる。前回の定例外リリースからさほど時間は経っていないが、他のバージョンでもいくつかの修正があったため、4バージョン同時のリリースとなった。

 今回修正された脆弱性は、以下の4件。

  • CVE-2022-40674:同梱の「libexpat」ライブラリにヒープ解放後メモリ利用(use-after-free)。「libexpat」v2.4.7からv2.4.9への更新で解決
  • gh-97616:「list *= int」で発生する可能性のあるバッファーオーバーフローを修正
  • gh-97612:サンプルスクリプト「get-remote-certificate.py」におけるシェルインジェクション(CVE番号が割り当てられていたが撤回)
  • gh-96577:「msilib」におけるバッファーオーバーラン

 なお、次期バージョン「Python 3.11」は10月24日のリリースが予定されているとのこと。現在、最後のリリース候補(RC)第2版がテスト中だ。