Pythonに4件の脆弱性　修正版のv3.10.8が登場

スクリプト言語「Python」のセキュリティアップデートが、10月11日に公開された（Python Insider、窓の杜）。「Python 3.10.8」は定例のリリース扱いだが、他のバージョンでもいくつかの修正があったため、v3.10.8、v3.9.15、v3.8.15、v3.7.15の4バージョン同時のリリースとなった。なおタレコミがされた時点ではx64用は公開されていなかったが、現時点では利用可能となっている。今回修正された脆弱性は次の通りとなっている。

あるAnonymous Coward 曰く、　CVE-2022-40674：同梱の「libexpat」ライブラリにヒープ解放後メモリ利用（use-after-free）。「libexpat」v2.4.7からv2.4.9への更新で解決。
gh-97616：「list *= int」で発生する可能性のあるバッファーオーバーフローを修正。
gh-97612：サンプルスクリプト「get-remote-certificate.py」におけるシェルインジェクション（CVE番号が割り当てられていたが撤回）。
gh-96577：「msilib」におけるバッファーオーバーラン。

　スラドのコメントを読む | デベロッパーセクション | セキュリティ | デベロッパー | Python

　関連ストーリー：
Coconut v2.0.0リリース 2022年10月13日
日本語で指示を入力すると、コードを生成するAIが登場 2022年10月05日
Python Software Foundation、商標登録の不使用取消審判に成功 2022年05月06日
ブルームバーグ・ターミナルのオープンソース版を作るプロジェクト 2022年04月07日