ホットフィックスリリース「Python 3.9.4」公開、Python 3.9.3はリコールへ

 Python Software Foundation(PSF)は4月4日、「Python 3.9.4」を公開した。2日前に公開したPython 3.9.3のホットフィックスとなり、3.9.3はリコールした。なお、バージョン3.9.3と同時にリリースしたPython 3.8.9については、問題ないようだ。

 Python Software Foundation(PSF)は4月2日に3.9系、3.8系の最新のポイントリリースとしてPython 3.9.3/3.8.9を公開していたが、意図しないABI非互換性が入っていたという。これにより、Python 3.9.0〜3.9.2を使って構築した一部のC拡張が、32ビットシステム上のPython 3.9.3で構築したものとクラッシュする可能性があるという。

 合わせて、3.9.3のセキュリティ修正として、OpenSSLにおける2件の脆弱性(CVE-2021-3449とCVE-2021-3450)について、CI、macOS、Windowsインストーラーで対応したり、悪用されるとディスク上の任意のファイルを読み込む可能性のあるpydocモジュールのgetfile機能の削除など、4件も明らかにした。最新のバージョン3.9.4はこれらを解消するものとなり、3.9.3をリコールするとしている。PSFは全てのユーザーに対し3.9.4へのアップデートを推奨している。

 Python 3.9系は二ヶ月おきにメンテナンスリリースを行っており、次期3.9.5は5月3日に公開の予定だ。

Python
https://www.python.org