Lanzouse o servidor http lixeiro lighttpd 1.4.64. A nova versión introduce 95 cambios, incluíndo cambios previamente planificados nos valores predeterminados e unha limpeza de funcionalidades obsoletas:
- O tempo de espera predeterminado para as operacións de reinicio/apagado graciosas reduciuse de infinito a 8 segundos. O tempo de espera pódese configurar mediante a opción "server.graceful-shutdown-timeout".
- Realizouse a transición ao uso da montaxe coa biblioteca PCRE2 (--with-pcre2); para volver á versión antiga de PCRE, pode usar a opción "--with-pcre".
- Elimináronse os módulos obsoletos anteriormente:
- mod_geoip (necesita usar mod_maxminddb),
- mod_authn_mysql (necesita usar mod_authn_dbi),
- mod_mysql_vhost (necesita usar mod_vhostdb_dbi),
- mod_cml (necesita usar mod_magnet),
- mod_flv_streaming (significado perdido despois de que caducou Adobe Flash),
- mod_trigger_b4_dl (cómpre usar un substituto para Lua).
Lighttpd 1.4.64 tamén corrixe unha vulnerabilidade (CVE-2022-22707) no módulo mod_extforward que provoca un desbordamento do búfer de 4 bytes ao procesar datos na cabeceira HTTP reenviado. Segundo os desenvolvedores, o problema limítase a unha denegación de servizo e permítelle iniciar remotamente unha terminación anormal dun proceso en segundo plano. A explotación só é posible cando o controlador de cabeceira reenviado está activado e non aparece na configuración predeterminada.
Fonte: opennet.ru