8.3.2#

安全性#

  • CVE-2021-23437 :避免中潜在的redos(正则表达式拒绝服务) ImageColor %s getrgb() 通过提高 ValueError 如果颜色说明符太长。自Pillow 5.2.0以来一直存在。

  • 修复6字节越界(OOB)读取。以前的边界检入 FliDecode.c 复制区块时错误计算了所需的读取缓冲区大小,可能会从堆中读取分配的缓冲区末尾的6个额外字节。从枕头7.1.0开始提供。这个漏洞是由谷歌的 OSS-Fuzz CIFuzz 快跑。

其他变化#

Python 3.10轮子#

Pillow现在包括Python3.10的二进制轮子。

Python 3.10候选版本于2021-08-03发布,最终版本将于2021-10-04发布 (PEP 619 )。CPython核心团队强烈鼓励第三方Python项目的维护者为3.10兼容性做好准备。就像现在的情况一样 no ABI changes 我们计划释放轮子来帮助其他人为3.10做准备,并确保枕头可以在3.10.0决赛的发布日立即使用。

固定回归#

  • 确保TIFF RowsPerStrip 对于JPEG压缩,是8的倍数 (#5588 )。

  • 更新 ImagePalette 渠道顺序 (#5599 )。

  • 隐藏FriBiDi填充符号以避免与真实的FriBiDi库冲突 (#5651 )。