Veröffentlichung des HTTP-Servers Lighttpd 1.4.64

Die leichte HTTP-Server-Software lighttpd 1.4.64 wurde veröffentlicht. In der neuen Version wurden 95 Änderungen implementiert, darunter die zuvor geplanten Anpassungen der Standardwerte sowie die Bereinigung veralteter Funktionen.

  • Das Standard-Timeout für die Operationen "graceful restart/shutdown" wurde von unbegrenzt auf 8 Sekunden reduziert. Das Timeout kann mit der Option „server.graceful-shutdown-timeout“ angepasst werden.
  • Es wurde auf die Verwendung der Version mit der Bibliothek PCRE2 (—with-pcre2) umgestellt. Um zur alten PCRE-Version zurückzukehren, kann die Option „—with-pcre“ verwendet werden.
  • Die zuvor als veraltet erklärten Module wurden entfernt:
    • mod_geoip (verwenden Sie mod_maxminddb),
    • mod_authn_mysql (verwenden Sie mod_authn_dbi),
    • mod_mysql_vhost (verwenden Sie mod_vhostdb_dbi),
    • mod_cml (verwenden Sie mod_magnet),
    • mod_flv_streaming (hat nach dem Lebensende von Adobe Flash an Bedeutung verloren),
    • mod_trigger_b4_dl (verwenden Sie eine Lua-Alternative).

In Lighttpd 1.4.64 wurde auch eine Sicherheitsanfälligkeit (CVE-2022-22707) im Modul mod_extforward behoben, die zu einem 4-Byte-Pufferüberlauf bei der Verarbeitung von Daten im HTTP-Header Forwarded führt. Laut den Entwicklern beschränkt sich das Problem auf einen Denial-of-Service-Angriff und ermöglicht das entfernte Auslösen eines Abbruchs des Hintergrundprozesses. Die Ausnutzung ist nur möglich, wenn der Handler für den Header Forwarded aktiviert ist und tritt in der Standardkonfiguration nicht auf.

Veröffentlichung des HTTP-Servers Lighttpd 1.4.64


Quelle: opennet.ru
Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster