Пуснат е олекотеният http сървър lighttpd 1.4.64. Новата версия въвежда 95 промени, включително прилагане на предварително планирани промени към настройките по подразбиране и почистване на остарялата функционалност:
- Времето за изчакване по подразбиране за грациозни операции за рестартиране/изключване е намалено от безкрайност до 8 секунди. Времето за изчакване може да бъде конфигурирано с помощта на опцията "server.graceful-shutdown-timeout".
- Преходът към използването на асемблиране с библиотеката PCRE2 (--with-pcre2) е направен, за да се върнете към старата версия на PCRE, можете да използвате опцията "--with-pcre".
- Премахнати модули, които преди това са отхвърлени:
- mod_geoip (трябва да използвате mod_maxminddb),
- mod_authn_mysql (трябва да използва mod_authn_dbi),
- mod_mysql_vhost (трябва да използва mod_vhostdb_dbi),
- mod_cml (трябва да използвате mod_magnet),
- mod_flv_streaming (загубено значение след изтичане на Adobe Flash),
- mod_trigger_b4_dl (трябва да се използва заместител на Lua).
Lighttpd 1.4.64 също коригира уязвимост (CVE-2022-22707) в модула mod_extforward, която причинява препълване на 4-байтов буфер при обработка на данни в препратения HTTP хедър. Според разработчиците проблемът е ограничен до отказ на услуга и ви позволява дистанционно да инициирате необичайно прекратяване на фонов процес. Операцията е възможна само когато манипулаторът на препратен хедър е активиран и не се показва в конфигурацията по подразбиране.
Източник: opennet.ru