Ο ελαφρύς διακομιστής http lighttpd 1.4.64 κυκλοφόρησε. Η νέα έκδοση εισάγει 95 αλλαγές, συμπεριλαμβανομένης της εφαρμογής προηγουμένως προγραμματισμένων αλλαγών στις προεπιλογές και της εκκαθάρισης λειτουργιών που έχουν καταργηθεί:
- Το προεπιλεγμένο χρονικό όριο για ευχάριστες λειτουργίες επανεκκίνησης/τερματισμού έχει μειωθεί από άπειρο σε 8 δευτερόλεπτα. Το χρονικό όριο μπορεί να ρυθμιστεί χρησιμοποιώντας την επιλογή "server.graceful-shutdown-timeout".
- Η μετάβαση στη χρήση της συναρμολόγησης με τη βιβλιοθήκη PCRE2 (--with-pcre2) έχει γίνει, για να επιστρέψετε στην παλιά έκδοση του PCRE, μπορείτε να χρησιμοποιήσετε την επιλογή "--with-pcre".
- Καταργημένες λειτουργικές μονάδες που είχαν προηγουμένως καταργηθεί:
- mod_geoip (πρέπει να χρησιμοποιήσει mod_maxminddb),
- mod_authn_mysql (πρέπει να χρησιμοποιήσει mod_authn_dbi),
- mod_mysql_vhost (πρέπει να χρησιμοποιήσει mod_vhostdb_dbi),
- mod_cml (πρέπει να χρησιμοποιήσει mod_magnet),
- mod_flv_streaming (έχασε το νόημα μετά τη λήξη του Adobe Flash),
- mod_trigger_b4_dl (πρέπει να χρησιμοποιήσει την αντικατάσταση Lua).
Το Lighttpd 1.4.64 διορθώνει επίσης μια ευπάθεια (CVE-2022-22707) στη λειτουργική μονάδα mod_extforward που προκαλεί υπερχείλιση buffer 4 byte κατά την επεξεργασία δεδομένων στην κεφαλίδα Προωθημένο HTTP. Σύμφωνα με τους προγραμματιστές, το πρόβλημα περιορίζεται σε μια άρνηση υπηρεσίας και σας επιτρέπει να ξεκινήσετε εξ αποστάσεως έναν μη φυσιολογικό τερματισμό μιας διαδικασίας παρασκηνίου. Η λειτουργία είναι δυνατή μόνο όταν ο χειριστής κεφαλίδας προώθησης είναι ενεργοποιημένος και δεν εμφανίζεται στην προεπιλεγμένη διαμόρφωση.
Πηγή: opennet.ru