S'ha llançat el servidor http lighttpd 1.4.64 lleuger. La nova versió introdueix 95 canvis, incloent l'aplicació de canvis planificats prèviament als valors predeterminats i la neteja de la funcionalitat obsoleta:
- El temps d'espera predeterminat per a les operacions de reinici/apagada elegants s'ha reduït de l'infinit a 8 segons. El temps d'espera es pot configurar mitjançant l'opció "server.graceful-shutdown-timeout".
- S'ha fet la transició a l'ús de l'assemblatge amb la biblioteca PCRE2 (--with-pcre2), per tornar a la versió antiga de PCRE, podeu utilitzar l'opció "--with-pcre".
- Mòduls eliminats anteriorment obsolets:
- mod_geoip (ha d'utilitzar mod_maxminddb),
- mod_authn_mysql (cal utilitzar mod_authn_dbi),
- mod_mysql_vhost (ha d'utilitzar mod_vhostdb_dbi),
- mod_cml (ha d'utilitzar mod_magnet),
- mod_flv_streaming (significat perdut després de caducar Adobe Flash),
- mod_trigger_b4_dl (ha d'utilitzar la substitució de Lua).
Lighttpd 1.4.64 també soluciona una vulnerabilitat (CVE-2022-22707) al mòdul mod_extforward que provoca un desbordament de memòria intermèdia de 4 bytes quan es processen dades a la capçalera HTTP reenviat. Segons els desenvolupadors, el problema es limita a una denegació de servei i us permet iniciar de forma remota una terminació anormal d'un procés en segon pla. L'operació només és possible quan el controlador de capçalera reenviada està habilitat i no apareix a la configuració predeterminada.
Font: opennet.ru