ニュース

「Python」にセキュリティ更新 ~v3.11.5、v3.10.13、v3.9.18、v3.8.18が公開

次期バージョン「Python 3.12」の開発は順調

「Python 3.11.5」などが公開

 スクリプト言語「Python」のセキュリティアップデートが、8月24日に実施された。現在、以下のバージョンが利用可能。

  • 3.11.5
  • 3.10.13
  • 3.9.18
  • 3.8.18

 今回のアップデートでは、「ssl.SSLSocket」のインスタンスがTLSハンドシェイクをバイパスできてしまう脆弱性(CVE-2023-40217)が修正された。特定状況下でソケットバッファーから読み取った暗号化されていないデータがTLS暗号化されたものとして扱われる可能性がある。「CVSS v3」の基本値は「5.4」(Medium)。

 また、「Python 3.11」系統では「os.path.normpath()」で意図せずパスが切り捨てられる欠陥(CVE-2023-41105)も対処された。「Python 3.10」ではセキュリティ上の理由で拒否されていたファイル名が、「Python 3.11」では許可されてしまう可能性がある。「CVSS v3」の基本値は「7.5」(High)。

 そのほかにも、さまざまな修正が行われている。次期バージョン「Python 3.12」の開発も順調のようで、執筆時現在、リリース候補第1版(RC1)までがリリースされている。

 「Python」は1991年、オランダ出身のプログラマーGuido van Rossum氏によって考案されたクロスプラットフォーム対応のインタープリター型プログラミング言語。コードブロックを字下げ(インデント)で表現する文法が特徴で、可読性が高いコードをコンパクトに記述できる。さまざまな用途に利用できる汎用言語だが、近年は機械学習の分野で著しい普及を見せている。

 バイナリは現在、公式サイト「python.org」から無償でダウンロード可能。Windows 10/11向けは、「Microsoft Store」からも入手できる。「Python」が導入されていない環境で「コマンド プロンプト」などから「Python」を実行すると、「Microsoft Store」が開いてシームレスに導入できる。

「Python」が導入されていない環境で「コマンド プロンプト」などから「Python」を実行すると、「Microsoft Store」が開いてシームレスに導入が可能