「Python」にセキュリティ更新 ～v3.11.5、v3.10.13、v3.9.18、v3.8.18が公開

「Python 3.11.5」などが公開

　スクリプト言語「Python」のセキュリティアップデートが、8月24日に実施された。現在、以下のバージョンが利用可能。

• 3.11.5
• 3.10.13
• 3.9.18
• 3.8.18

　今回のアップデートでは、「ssl.SSLSocket」のインスタンスがTLSハンドシェイクをバイパスできてしまう脆弱性（CVE-2023-40217）が修正された。特定状況下でソケットバッファーから読み取った暗号化されていないデータがTLS暗号化されたものとして扱われる可能性がある。「CVSS v3」の基本値は「5.4」（Medium）。

　また、「Python 3.11」系統では「os.path.normpath()」で意図せずパスが切り捨てられる欠陥（CVE-2023-41105）も対処された。「Python 3.10」ではセキュリティ上の理由で拒否されていたファイル名が、「Python 3.11」では許可されてしまう可能性がある。「CVSS v3」の基本値は「7.5」（High）。

　そのほかにも、さまざまな修正が行われている。次期バージョン「Python 3.12」の開発も順調のようで、執筆時現在、リリース候補第1版（RC1）までがリリースされている。

　「Python」は1991年、オランダ出身のプログラマーGuido van Rossum氏によって考案されたクロスプラットフォーム対応のインタープリター型プログラミング言語。コードブロックを字下げ（インデント）で表現する文法が特徴で、可読性が高いコードをコンパクトに記述できる。さまざまな用途に利用できる汎用言語だが、近年は機械学習の分野で著しい普及を見せている。

　バイナリは現在、公式サイト「python.org」から無償でダウンロード可能。Windows 10/11向けは、「Microsoft Store」からも入手できる。「Python」が導入されていない環境で「コマンド プロンプト」などから「Python」を実行すると、「Microsoft Store」が開いてシームレスに導入できる。

「Python」が導入されていない環境で「コマンド プロンプト」などから「Python」を実行すると、「Microsoft Store」が開いてシームレスに導入が可能