Pythonの変更ログ: 

bpo-37463: ssl.match_hostname()は、アドレスの後に追加テキストがあるIPv4アドレスを受け入れず、末尾に空白のない4分割ドット表記のIPアドレスのみを受け入れます。一部のinet_aton()実装は、空白および空白より後のすべてのデータを無視します（例:「127.0.0.1 whatever」）。

bpo-35907: CVE-2019-9948: urllib.requestのURLopener().open()およびURLopener().retrieve()でURLスキームlocal-file://およびlocal_file://を禁止して、ファイルの読み取りを回避します。

bpo-36742: urlsplit()での正規化前の文字の不適切な処理を修正します。

bpo-30458: に対処するため、空白または制御文字が埋め込まれたURLパスを下層のhttpクライアントリクエストに許可しないことで、CVE-2019-9740に対処します。このような潜在的に悪意のあるヘッダーインジェクションURLにより、http.client.InvalidURL例外が発生します。

bpo-33529: ヘッダーに含まれている非ASCII文字が多過ぎる場合に、電子メールヘッダーエンコーディングで使用されているfold関数が無限ループに入らないようにします。

bpo-35755: os.confstr(「CS_PATH」)が使用可能であり、PATH環境変数が設定されていない場合に、shutil.which()はos.confstr(「CS_PATH」)を使用するようになりました。posixpath.defpathから現行ディレクトリも削除します。Unixでは、PATH環境変数が設定されていない場合、shutil.which()とサブプロセスモジュールは、現行ディレクトリ内で実行可能ファイルを検索しません。

検出

FreeBSD: python 3.7 -- 複数の脆弱性（a449c604-a43a-11e9-b422-fcaa147e860e）

critical Nessus プラグイン ID 126667

変更ログが見つかりません