2024年9月7日、Python開発チームはプログラミング言語Pythonの複数のバージョンにわたる一斉リリースを発表しました。

今回のアップデートは、次期メジャーバージョンである Python 3.13の最終リリース候補 (RC2) の公開に加え、現在広く利用されている各安定版に対する 重要なセキュリティ修正 が主目的となっています。

Python 3.12から、サポート終了間近の3.8まで広範囲にわたる更新となっており、すべてのユーザーにとってセキュリティ維持のために不可欠なリリースです。

目次 [ close ]
  1. Python 3.13.0RC2:10月の正式リリースに向けた最終段階
    1. サードパーティプロジェクトへの対応呼びかけ
    2. Python 3.13で導入される注目すべき新機能
  2. 複数の安定版におけるセキュリティアップデート
    1. 修正された主な脆弱性 (CVE)
    2. macOSサポートに関する重要な変更
  3. Python 3.8の終焉とアップグレードの推奨
  4. まとめ

Python 3.13.0RC2:10月の正式リリースに向けた最終段階

Python 3.13.0RC2は、2024年10月1日に予定されている Python 3.13.0正式版のリリース前における最後のテスト機会 です。

このバージョンは「リリース候補 (Release Candidate)」という位置づけであり、重大なバグが見つからない限り、この内容がそのまま正式版として提供されます。

サードパーティプロジェクトへの対応呼びかけ

開発チームは、ライブラリやフレームワークのメンテナーに対し、このRC2を使用して Python 3.13との互換性を最終確認するよう 強く求めています。

特に、PyPIで配布するバイナリホイールを準備している場合、このRC2でビルドされたホイールは将来の正式版でも動作することが保証されています。

本番環境への導入は推奨されませんが、開発環境での検証を早期に進めることが、エコシステム全体の安定につながります。

Python 3.13で導入される注目すべき新機能

Python 3.13は、近年のアップデートの中でも特に野心的な変更が多く含まれています。

主な新機能は以下の通りです。

  1. 対話型インタプリタの改良:PyPyの成果をベースに、マルチライン編集やカラー表示をサポートした新しいREPLが導入されました。
  2. フリースレッドビルド (実験的):GIL (Global Interpreter Lock) を無効化して実行できるモードが試験的に導入され、マルチスレッド処理の性能向上が期待されています。
  3. JITコンパイラの導入 (試験的):実行時コンパイルによるパフォーマンス最適化の基盤が整備されました。
  4. インクリメンタルGC:循環参照ガベージコレクタが段階的に動作するようになり、大量のオブジェクトを扱う際の停止時間が短縮されます。

例えば、新しい locals() 関数のセマンティクス変更により、デバッガなどがより一貫した動作をすることが可能になりました。

Python
# Python 3.13でのlocals()の挙動確認例
def example_func():
    x = 10
    loc = locals()
    # 返されたマッピングに対する変更が、明確な定義に基づいて扱われるようになります
    print(f"Current local variables: {loc}")

example_func()

複数の安定版におけるセキュリティアップデート

今回のリリースでは、Python 3.12.6, 3.11.10, 3.10.15, 3.9.20, 3.8.20 の各バージョンが同時に公開されました。

これらはいずれも セキュリティ脆弱性の修正 を目的としたアップデートです。

修正された主な脆弱性 (CVE)

今回の更新では、ネットワーク通信、アーカイブ処理、メール解析など、多岐にわたる修正が行われました。

主要な修正内容は以下の通りです。

項目内容関連CVE
libexpatの更新付属のlibexpatを2.6.3にアップグレードし、複数の脆弱性を修正CVE-2024-28757等
tempfile.mkdtempWindows環境でのディレクトリ作成時のパーミッション制限を強化CVE-2024-4030
http.cookies特定のクォート済みクッキー値の解析における計算量爆発を修正CVE-2024-7592
emailモジュール無効なメールアドレスに対する厳格な解析 (strictパラメータ) の追加CVE-2023-27043
tarfileモジュールヘッダー解析時のバックトラッキングによるサービス拒否を修正CVE-2024-6232

特に、email.utils.getaddresses()email.utils.parseaddr() において、不正な形式のメールアドレスを入力された際の挙動が改善されています。

これにより、メール送信を伴うアプリケーションの安全性が向上します。

macOSサポートに関する重要な変更

Python 3.12.6以降、およびPython 3.13では、 macOS 10.9から10.12までのサポートが終了 しました。

現在サポートされる最小バージョンは macOS 10.13 (High Sierra) となっています。

Apple社によるOS自体のサポートが数年前に終了していることが背景にあり、最新のセキュリティ要件を維持するための決断です。

Python 3.8の終焉とアップグレードの推奨

特筆すべき点として、 Python 3.8.20 のリリースが挙げられます。

Python 3.8系列は、まもなく製品寿命 (End of Life / EOL) を迎えます。

公式のアナウンスでは「これがPython 3.8の最後のリリースになるかもしれない」と示唆されており、現在3.8を使用しているシステムは、早急に3.12や3.13といった新しいブランチへ移行する計画を立てる必要があります。

Python 3.11以降のバージョンは、バイナリインストーラーが提供されない「ソースコードのみのセキュリティリリース」へと移行しています。

運用環境でのアップデートには、ソースからのビルド環境の整備、あるいはコンテナイメージの更新が必要です。

まとめ

今回の同時リリースは、Pythonエコシステム全体の安全性を確保するための重要なステップです。

Python 3.13RC2 は新時代の幕開けを告げるものであり、一方で安定版の各アップデートは、私たちの日常的なシステムを攻撃から守る盾となります。

開発者の皆様は、以下の対応を検討してください。

  • Python 3.13への移行準備としてRC2でのテストを行う
  • 運用中のシステムにおいて、CVE-2024-7592やCVE-2024-6232などの影響を確認し、最新パッチを適用する
  • Python 3.8などの古いバージョンを使用している場合は、サポート終了に備えたリプレイス計画を策定する

常に最新のセキュリティ情報を確認し、安全な開発環境を維持していきましょう。

公式の各リリース詳細については、Python.orgのダウンロードページを確認することをお勧めします。