Pythonに4件の脆弱性 修正版のv3.10.8が登場
2022年10月15日 09:49
スクリプト言語「Python」のセキュリティアップデートが、10月11日に公開された(Python Insider、窓の杜)。「Python 3.10.8」は定例のリリース扱いだが、他のバージョンでもいくつかの修正があったため、v3.10.8、v3.9.15、v3.8.15、v3.7.15の4バージョン同時のリリースとなった。なおタレコミがされた時点ではx64用は公開されていなかったが、現時点では利用可能となっている。今回修正された脆弱性は次の通りとなっている。 あるAnonymous Coward 曰く、 CVE-2022-40674:同梱の「libexpat」ライブラリにヒープ解放後メモリ利用(use-after-free)。「libexpat」v2.4.7からv2.4.9への更新で解決。 gh-97616:「list *= int」で発生する可能性のあるバッファーオーバーフローを修正。 gh-97612:サンプルスクリプト「get-remote-certificate.py」におけるシェルインジェクション(CVE番号が割り当てられていたが撤回)。 gh-96577:「msilib」におけるバッファーオーバーラン。