Выпущены (http://permalink.gmane.org/gmane.comp.python.devel/131826) корректирующие релизы Python 2.6.8, 2.7.3, 3.1.5 и 3.2.3 (http://python.org/), в которых проведена работа по исправлению накопившихся ошибок, в том числе устранено несколько уязвимостей. Представлено решение для  проблемы (http://www.opennet.me/opennews/art.shtml?num=32698) с предсказуемыми коллизиями в реализации алгоритма хэширования, проявляющейся для типов dict и set. По умолчанию защита отключена, для её включения следует активировать режим рандомизации хэшей через опцию "-R" или переменную окружения PYTHONHASHSEED="random". Кроме того, устранена  DoS-уязвимость (http://bugs.python.org/issue14001) в модуле SimpleXMLRPCServer (избыточная нагрузка на CPU при обработке специальных запросов XMLRPC / HTTP) и возможность (http://bugs.python.org/issue13885) совершения атаки CBC IV (http://www.openssl.org/%7Ebodo/tls-cbc.txt) для модуля _ssl.

Отдельно отмечается, что созданные для прошлых выпусков при помощи virtualenv (http://pypi.python.org/pypi/virtualenv)  обособленные окружения могут некорректно работать с новыми версиями и требуют своего перестроения. В частности, в модуле os не будет работать функция urandom.

URL: http://permalink.gmane.org/gmane.comp.python.devel/131826
Новость: http://www.opennet.me/opennews/art.shtml?num=33585