Выпущены [3] корректирующие релизы Python 2.6.8, 2.7.3, 3.1.5 и 3.2.3 [4], в которых проведена работа по исправлению накопившихся ошибок. В том числе устранено несколько уязвимостей. Представлено решение для проблемы [5] с предсказуемыми коллизиями в реализации алгоритма хэширования, проявляющаяся для типов dict и set. По умолчанию защита отключена, для её включения следует активировать режим рандомизации хэшей через опцию "-R" или переменную окружения PYTHONHASHSEED="random"). Кроме того, устранена DoS-уязвимость [6] в модуле SimpleXMLRPCServer (избыточная нагрузка на CPU при обработке специальных запросов XMLRPC / HTTP) и возможность [7] совершения атаки CBC IV [8] для модуля _ssl.
Отдельно отмечается, что созданные для прошлых выпусков при помощи virtualenv обособленные окружения могут некорректно работать с новыми версиями и требуют своего перестроения. В частности, в модуле os не будет работать функция urandom.
Ссылки:
[1] http://htfl.ru/cat-news-python
[2] http://htfl.ru/cat-news-obnovlenie-po
[3] /out.php?link=http://permalink.gmane.org/gmane.comp.python.devel/131826
[4] /out.php?link=http://python.org/
[5] http://htfl.ru/news/universalnyi-sposob-dos-ataki-zatragivayushchii-php-java-ruby-python-i-razlichnye-web-platformy
[6] /out.php?link=http://bugs.python.org/issue14001
[7] /out.php?link=http://bugs.python.org/issue13885
[8] /out.php?link=http://www.openssl.org/%7Ebodo/tls-cbc.txt