Kevyt http-palvelin lighttpd 1.4.64 on julkaistu. Uusi versio sisältää 95 muutosta, mukaan lukien aiemmin suunnitellut muutokset oletusarvoihin ja vanhentuneiden toimintojen puhdistus:
- Oletusaikakatkaisu sulaville uudelleenkäynnistys-/sammutustoimintoille on lyhennetty äärettömästä 8 sekuntiin. Aikakatkaisu voidaan määrittää käyttämällä "server.graceful-shutdown-timeout" -vaihtoehtoa.
- Siirtyminen kokoonpanon käyttöön PCRE2-kirjaston kanssa (--with-pcre2) on tehty; palataksesi PCRE:n vanhaan versioon voit käyttää "--with-pcre" -vaihtoehtoa.
- Aiemmin käytöstä poistetut moduulit on poistettu:
- mod_geoip (sinun täytyy käyttää mod_maxminddb),
- mod_authn_mysql (sinun täytyy käyttää mod_authn_dbi),
- mod_mysql_vhost (sinun täytyy käyttää mod_vhostdb_dbi),
- mod_cml (sinun täytyy käyttää mod_magnetia),
- mod_flv_streaming (menetetty merkityksensä Adobe Flashin vanhentumisen jälkeen),
- mod_trigger_b4_dl (sinun on korvattava Lua).
Lighttpd 1.4.64 korjaa myös mod_extforward-moduulin haavoittuvuuden (CVE-2022-22707), joka aiheuttaa 4-tavuisen puskurin ylivuodon, kun käsitellään Forwarded HTTP-otsikon tietoja. Kehittäjien mukaan ongelma rajoittuu palvelunestoon ja mahdollistaa etäkäynnistyksen taustaprosessin epänormaalin lopettamisen. Hyödyntäminen on mahdollista vain, kun edelleenlähetetty otsikkokäsittelijä on käytössä eikä se näy oletuskokoonpanossa.
Lähde: opennet.ru