安全性
将二元轮子中使用的FreeType更新为 2.10.4 修复的步骤 CVE-2020-15999 :
在FreeType版本2.6中引入的嵌入式PNG位图的处理中发现了堆缓冲区溢出。
如果使用选项
FT_CONFIG_OPTION_USE_PNG您应该立即升级。
如果您使用的是Pillow 8.0.0,我们强烈建议您更新到Pillow 8.0.1,它改进了对位图字体的支持。
在Pillow 7.2.0和更早版本中,使用以下命令禁用位图字体 FT_LOAD_NO_BITMAP ,但尚不清楚这是否会阻止攻击,我们建议更新到Pillow 8.0.1。
Pillow 8.0.0及更早版本是潜在的易受攻击版本,包括支持Python2.7的最新版本,即Pillow 6.2.2。
讨论区