La lighttpd 1.4.64 malpeza http-servilo estis liberigita. La nova versio enkondukas 95 ŝanĝojn, inkluzive de aplikado de antaŭe planitaj ŝanĝoj al defaŭltoj kaj purigado de malrekomendita funkcieco:
- La defaŭlta tempodaŭro por graciaj rekomencaj/malŝaltaj operacioj estis reduktita de senfineco al 8 sekundoj. La tempodaŭro povas esti agordita uzante la opcion "server.graceful-shutdown-timeout".
- La transiro al la uzo de kunigo kun la biblioteko PCRE2 (--with-pcre2) estis farita, por reveni al la malnova versio de PCRE, vi povas uzi la opcion "--with-pcre".
- Forigitaj moduloj antaŭe malrekomenditaj:
- mod_geoip (devas uzi mod_maxminddb),
- mod_authn_mysql (devas uzi mod_authn_dbi),
- mod_mysql_vhost (devas uzi mod_vhostdb_dbi),
- mod_cml (devas uzi mod_magnet),
- mod_flv_streaming (perdita signifo post kiam Adobe Flash eksvalidiĝis),
- mod_trigger_b4_dl (devas uzi Luaan anstataŭaĵon).
Lighttpd 1.4.64 ankaŭ riparas vundeblecon (CVE-2022-22707) en la mod_extforward-modulo, kiu kaŭzas 4-bajtan bufron superfluon dum prilaborado de datumoj en la Forwarded HTTP-kapo. Laŭ la programistoj, la problemo estas limigita al neo de servo kaj permesas al vi malproksime komenci eksternorman ĉesigon de fona procezo. Funkciado estas ebla nur kiam la direktilo de la kaplinio Plusendita estas ebligita kaj ne aperas en la defaŭlta agordo.
fonto: opennet.ru