Ilmus kerge http-serveri lighttpd 1.4.64. Uues versioonis on 95 muudatust, sealhulgas kehtestatud varem planeeritud vaikeväärtuste muudatused ja eemaldatud aegunud funktsionaalsused:
- Vaikeaeg graceful restart/shutdown operatsioonide jaoks on vähendatud piiramatust 8 sekundini. Aega saab seadistada valiku „server.graceful-shutdown-timeout” abil.
- On tehtud üleminek PCRE2 teegi kasutamisele (—with-pcre2), tagasi vanale PCRE versioonile võite minna valiku „—with-pcre” abil.
- Eemaldatud on moodulid, mis olid varem kuulutatud aegunuks:
- mod_geoip (kasutage mod_maxminddb-d),
- mod_authn_mysql (kasutage mod_authn_dbi-d),
- mod_mysql_vhost (kasutage mod_vhostdb_dbi-d),
- mod_cml (kasutage mod_magnet-d),
- mod_flv_streaming (kaotas mõtte Adobe Flashi eluea lõppemisega),
- mod_trigger_b4_dl (kasutage asendust Lua abil).
Lighttpd 1.4.64-s on parandatud haavatavus (CVE-2022-22707) mod_extforward moodulis, mis põhjustab 4-baidise bufferi ülevoolu Forwarded HTTP-pealkirjades andmete töötlemisel. Arendajate arvates piirneb probleem teenuse kättesaamatusega ja võimaldab kaugelt algatada taustprotsessi kokkuvarisemise. Selle ärakasutamine on võimalik ainult Forwarded pealkirja töötleja lubamisel ning ei ilmne vaikevalikustes.

Allikas: opennet.ru
