Byl vydán lehký http server lighttpd 1.4.64. Nová verze zavádí 95 změn, včetně použití dříve plánovaných změn na výchozí hodnoty a vyčištění zastaralých funkcí:
- Výchozí časový limit pro plynulý restart/vypnutí byl zkrácen z nekonečna na 8 sekund. Časový limit lze nakonfigurovat pomocí možnosti „server.graceful-shutdown-timeout“.
- Byl proveden přechod na použití sestavení s knihovnou PCRE2 (--with-pcre2), pro návrat ke staré verzi PCRE můžete použít volbu "--with-pcre".
- Odstraněné moduly dříve zastaralé:
- mod_geoip (musí používat mod_maxminddb),
- mod_authn_mysql (musí používat mod_authn_dbi),
- mod_mysql_vhost (musí používat mod_vhostdb_dbi),
- mod_cml (musí používat mod_magnet),
- mod_flv_streaming (po vypršení platnosti Adobe Flash ztratil význam),
- mod_trigger_b4_dl (musí používat náhradu Lua).
Lighttpd 1.4.64 také opravuje zranitelnost (CVE-2022-22707) v modulu mod_extforward, která způsobuje přetečení 4bajtové vyrovnávací paměti při zpracování dat v hlavičce Forwarded HTTP. Podle vývojářů je problém omezen na odmítnutí služby a umožňuje vzdáleně iniciovat abnormální ukončení procesu na pozadí. Operace je možná pouze v případě, že je povolena obsluha předávané hlavičky a nezobrazuje se ve výchozí konfiguraci.
Zdroj: opennet.ru