Der leichte HTTP-Server lighttpd 1.4.64 wurde veröffentlicht. Die neue Version führt 95 Änderungen ein, darunter die Anwendung zuvor geplanter Änderungen an Standardeinstellungen und die Bereinigung veralteter Funktionen:
- Das Standard-Timeout für ordnungsgemäße Neustart-/Herunterfahrvorgänge wurde von unendlich auf 8 Sekunden reduziert. Der Timeout kann mit der Option „server.graceful-shutdown-timeout“ konfiguriert werden.
- Der Übergang zur Verwendung von Assembly mit der PCRE2-Bibliothek (--with-pcre2) ist erfolgt. Um zur alten Version von PCRE zurückzukehren, können Sie die Option „--with-pcre“ verwenden.
- Entfernte Module, die zuvor veraltet waren:
- mod_geoip (muss mod_maxminddb verwenden),
- mod_authn_mysql (muss mod_authn_dbi verwenden),
- mod_mysql_vhost (muss mod_vhostdb_dbi verwenden),
- mod_cml (muss mod_magnet verwenden),
- mod_flv_streaming (hat seine Bedeutung verloren, nachdem Adobe Flash abgelaufen ist),
- mod_trigger_b4_dl (muss Lua-Ersatz verwenden).
Lighttpd 1.4.64 behebt außerdem eine Schwachstelle (CVE-2022-22707) im Modul mod_extforward, die bei der Verarbeitung von Daten im Forwarded HTTP-Header einen 4-Byte-Pufferüberlauf verursacht. Nach Angaben der Entwickler beschränkt sich das Problem auf einen Denial-of-Service und ermöglicht es Ihnen, aus der Ferne eine abnormale Beendigung eines Hintergrundprozesses einzuleiten. Der Vorgang ist nur möglich, wenn der Forwarded-Header-Handler aktiviert ist und nicht in der Standardkonfiguration erscheint.
Source: opennet.ru