Se ha lanzado el servidor http ligero lighttpd 1.4.64. La nueva versión presenta 95 cambios, incluida la aplicación de cambios planificados previamente a los valores predeterminados y la limpieza de la funcionalidad obsoleta:
- El tiempo de espera predeterminado para las operaciones de reinicio/apagado correctos se ha reducido de infinito a 8 segundos. El tiempo de espera se puede configurar mediante la opción "server.graceful-shutdown-timeout".
- Se ha realizado la transición al uso de ensamblador con la biblioteca PCRE2 (--with-pcre2), para volver a la versión anterior de PCRE, puede utilizar la opción "--with-pcre".
- Módulos eliminados previamente en desuso:
- mod_geoip (debe usar mod_maxminddb),
- mod_authn_mysql (debe usar mod_authn_dbi),
- mod_mysql_vhost (debe usar mod_vhostdb_dbi),
- mod_cml (debe usar mod_magnet),
- mod_flv_streaming (significado perdido después de que expiró Adobe Flash),
- mod_trigger_b4_dl (debe usar el reemplazo de Lua).
Lighttpd 1.4.64 también corrige una vulnerabilidad (CVE-2022-22707) en el módulo mod_extforward que provoca un desbordamiento de búfer de 4 bytes al procesar datos en el encabezado HTTP reenviado. Según los desarrolladores, el problema se limita a una denegación de servicio y le permite iniciar de forma remota una terminación anormal de un proceso en segundo plano. La operación solo es posible cuando el controlador de encabezado Reenviado está habilitado y no aparece en la configuración predeterminada.
Fuente: opennet.ru