安全性
-
CVE-2021-23437 :避免中潜在的redos(正则表达式拒绝服务)
ImageColor%sgetrgb()通过提高ValueError如果颜色说明符太长。从枕头5.2.0开始提供。 -
修复6字节越界(OOB)读取。以前的边界检入
FliDecode.c复制区块时错误计算了所需的读取缓冲区大小,可能会从堆中读取分配的缓冲区末尾的6个额外字节。从枕头7.1.0开始提供。这个漏洞是由谷歌的 OSS-Fuzz CIFuzz 快跑。
其他变化
Python 3.10轮子
Pillow现在包括Python3.10的二进制轮子。
Python 3.10候选版本于2021-08-03发布,最终版本将于2021-10-04发布 (PEP 619 )。CPython核心团队强烈鼓励第三方Python项目的维护者为3.10兼容性做好准备。就像现在的情况一样 no ABI changes 我们计划释放轮子来帮助其他人为3.10做准备,并确保枕头可以在3.10.0决赛的发布日立即使用。
固定回归
-
确保TIFF
RowsPerStrip对于JPEG压缩,是8的倍数 (#5588 )。 -
更新
ImagePalette渠道顺序 (#5599 )。 -
隐藏FriBiDi填充符号以避免与真实的FriBiDi库冲突 (#5651 )。
讨论区