Lighttpd 1.4.64 letvægts http-serveren er blevet frigivet. Den nye version introducerer 95 ændringer, herunder at anvende tidligere planlagte ændringer til standardindstillinger og rydde op i forældet funktionalitet:
- Standard timeout for yndefuld genstart/nedlukning er blevet reduceret fra uendeligt til 8 sekunder. Timeout kan konfigureres ved at bruge "server.graceful-shutdown-timeout" muligheden.
- Overgangen til brugen af assembly med PCRE2-biblioteket (--with-pcre2) er foretaget, for at vende tilbage til den gamle version af PCRE, kan du bruge "--with-pcre" muligheden.
- Fjernede moduler tidligere forældet:
- mod_geoip (skal bruge mod_maxminddb),
- mod_authn_mysql (skal bruge mod_authn_dbi),
- mod_mysql_vhost (skal bruge mod_vhostdb_dbi),
- mod_cml (skal bruge mod_magnet),
- mod_flv_streaming (mistet betydning efter Adobe Flash udløb),
- mod_trigger_b4_dl (skal bruge Lua-erstatning).
Lighttpd 1.4.64 retter også en sårbarhed (CVE-2022-22707) i mod_extforward-modulet, der forårsager et 4-byte bufferoverløb ved behandling af data i den videresendte HTTP-header. Ifølge udviklerne er problemet begrænset til et lammelsesangreb og giver dig mulighed for eksternt at starte en unormal afslutning af en baggrundsproces. Betjening er kun mulig, når videresendt header-håndtering er aktiveret og ikke vises i standardkonfigurationen.
Kilde: opennet.ru