Адбыўся рэліз легкаважнага http-сервера lighttpd 1.4.64. У новай версіі прадстаўлена 95 змен, у тым ліку ўжытыя раней запланаваныя змены значэнняў па змаўчанні і праведзена чыстка ад састарэлай функцыянальнасці:
- Таймаўт па змаўчанні для аперацый graceful restart/shutdown паменшаны з бясконцасці да 8 секунд. Таймаўт можна наладзіць пры дапамозе опцыі "server.graceful-shutdown-timeout".
- Ажыццёўлены пераход на выкарыстанне зборкі з бібліятэкай PCRE2 (-with-pcre2), для вяртання на стары варыянт PCRE можна выкарыстоўваць опцыю "-with-pcre".
- Выдалены модулі, раней абвешчаныя састарэлымі:
- mod_geoip (трэба выкарыстоўваць mod_maxminddb),
- mod_authn_mysql (трэба выкарыстоўваць mod_authn_dbi),
- mod_mysql_vhost (трэба выкарыстоўваць mod_vhostdb_dbi),
- mod_cml (трэба выкарыстоўваць mod_magnet),
- mod_flv_streaming (страціў сэнс пасля завяршэння часу жыцця Adobe Flash),
- mod_trigger_b4_dl (трэба выкарыстоўваць замену на Lua).
У Lighttpd 1.4.64 таксама ўхіленая ўразлівасць (CVE-2022-22707) у модулі mod_extforward, якая прыводзіць да перапаўнення буфера на 4 байта пры апрацоўцы дадзеных у HTTP-загалоўку Forwarded. На думку распрацоўшчыкаў праблема абмяжоўваецца адмовай у абслугоўванні і дазваляе выдалена ініцыяваць аварыйнае завяршэння фонавага працэсу. Эксплуатацыя магчымая толькі пры ўключэнні апрацоўшчыка загалоўка Forwarded і не выяўляецца ў канфігурацыі па змаўчанні.
Крыніца: opennet.ru