ニュース

「Python」にセキュリティアップデート ~CVE番号ベースで5件の脆弱性を修正

v3.11.1、v3.10.9、v3.9.16、v3.8.16、v3.7.16が公開

「Python 3.11.1」が公開

 スクリプト言語「Python」のセキュリティアップデートが、12月6日に実施された。現在、以下のバージョンが利用可能。「Python 3.11」はリリース後初めてのアップデートとなる。

  • 3.11.1
  • 3.10.9
  • 3.9.16
  • 3.8.16
  • 3.7.16

 今回のアップデートで修正された脆弱性は、以下の5件。

  • CVE-2022-43680:「libexpat」におけるヒープの解放後メモリ利用(use-after-free)。「libexpat」v2.5.0への更新で解消
  • CVE-2022-45061:双方向文字を含む規格外の長すぎるホスト名がデコードされた場合、サービス拒否(DoS)が引き起こされる欠陥
  • CVE-2022-42919:Linux環境における潜在的な特権の昇格。「Python 3.11」ではすでに対処済み
  • CVE-2022-37454:SHA-3のバッファオーバーフロー。「XKCP」の修正を移植して対処。「Python 3.11」ではすでに対処済み
  • CVE-2015-20107:非推奨の「mailcap」モジュールでシェルコマンドとして安全でないテキストの注入を拒否するように。「Python 3.10」以降で対処済みのものを旧バージョンへバックポート

 そのほかにも、いくつかの修正が行われている。

 「Python」は1991年、オランダ出身のプログラマーGuido van Rossum氏によって考案されたクロスプラットフォーム対応のインタープリター型プログラミング言語。コードブロックを字下げ(インデント)で表現する文法が特徴で、可読性が高いコードをコンパクトに記述できる。さまざまな用途に利用できる汎用言語だが、近年は機械学習の分野で著しい普及を見せている。

 バイナリは現在、公式サイト「python.org」から無償でダウンロード可能。Windows 10/11向けは、「Microsoft Store」からも入手できる。「Python」が導入されていない環境で「コマンド プロンプト」などから「Python」を実行すると、「Microsoft Store」が開いてシームレスに導入が可能。ただし、バージョンは「Python 3.10」シリーズとなる。

「Python」が導入されていない環境で「コマンド プロンプト」などから「Python」を実行すると、「Microsoft Store」が開いてシームレスに導入が可能