Le serveur http léger lighttpd 1.4.64 a été publié. La nouvelle version introduit 95 modifications, notamment l'application des modifications précédemment planifiées aux valeurs par défaut et le nettoyage des fonctionnalités obsolètes :
- Le délai d'expiration par défaut pour les opérations de redémarrage/arrêt progressif a été réduit de l'infini à 8 secondes. Le délai d'attente peut être configuré à l'aide de l'option "server.graceful-shutdown-timeout".
- Le passage à l'utilisation de l'assembly avec la bibliothèque PCRE2 (--with-pcre2) a été effectué ; pour revenir à l'ancienne version de PCRE, vous pouvez utiliser l'option "--with-pcre".
- Modules supprimés précédemment obsolètes :
- mod_geoip (doit utiliser mod_maxminddb),
- mod_authn_mysql (doit utiliser mod_authn_dbi),
- mod_mysql_vhost (doit utiliser mod_vhostdb_dbi),
- mod_cml (doit utiliser mod_magnet),
- mod_flv_streaming (perdu de sens après l'expiration d'Adobe Flash),
- mod_trigger_b4_dl (doit utiliser le remplacement Lua).
Lighttpd 1.4.64 corrige également une vulnérabilité (CVE-2022-22707) dans le module mod_extforward qui provoque un débordement de tampon de 4 octets lors du traitement des données dans l'en-tête HTTP Forwarded. Selon les développeurs, le problème se limite à un déni de service et permet de déclencher à distance une fin anormale d'un processus en arrière-plan. L’opération n’est possible que lorsque le gestionnaire d’en-tête Forwarded est activé et n’apparaît pas dans la configuration par défaut.
Source: opennet.ru