Objavljeno je izdanje laganog http poslužitelja lighttpd 1.4.76, fokusiranog na kombinaciju visokih performansi, sigurnosti, usklađenosti sa standardima i fleksibilnosti konfiguracije. Lighttpd je prikladan za korištenje na visoko opterećenim sustavima i usmjeren je na nisku potrošnju memorije i procesora. Projektni kod je napisan u C-u i distribuira se pod BSD licencom.
U novoj verziji:
- Omogućeno je otkrivanje napada "Continuation flood" koji se provodi slanjem kontinuiranog toka okvira CONTINUATION na HTTP/2 poslužitelj bez postavljanja oznake END_HEADERS. Navedeno je da ovaj napad ne rezultira uskraćivanjem usluge lighttpd-u, ali je kao dodatna mjera dodana detekcija i slanje odgovora GO_AWAY.
- Incident koji uključuje uvođenje backdoor-a u xz paket je uzet u obzir. Prilikom stvaranja izdanja za sastavljanje ovisnosti, kod se sada dohvaća iz Gita pomoću naredbe “git archive” uz provjeru pomoću oznaka izdanja i bez preuzimanja gotovih arhiva s kodom.
- Prema zadanim postavkama dostupna je ugrađena datoteka mimetype.assign.
- Dodana podrška za proširenje MPTCP (MultiPath TCP), koje nije omogućeno prema zadanim postavkama.
- Poboljšana podrška za GNU/Hurd i NetBSD 10 platforme.
- Smanjen je broj poziva sustava pri povezivanju s pozadinom.
- U budućim izdanjima planira se postaviti TLSv1.3 kao minimalno zadanu podržanu verziju TLS protokola (trenutačno je parametar MinProtocol postavljen na TLSv1.2). U budućnosti će rukovatelj server.error-handler-404 biti ograničen samo na rukovanje greškama 404 (trenutačno obrađuje i 404 i 403).
Također možete primijetiti izdanje Apache HTTP poslužitelja 2.4.59, koji je uveo 21 promjenu i popravio tri ranjivosti:
- CVE-2024-27316 je ranjivost koja dovodi do iscrpljivanja slobodne memorije tijekom napada "Continuation flood".
- CVE-2024-24795, CVE-2023-38709 - mogućnost izvođenja napada dijeljenjem HTTP odgovora na front-end-backend sustave, omogućavajući zamjenu dodatnih zaglavlja odgovora ili dijeljenje odgovora kako bi se uklonio sadržaj odgovora drugim korisnicima koji se obrađuju u istoj niti između sučelja i pozadine.
- Parametar CGIScriptTimeout dodan je modulu mod_cgi za postavljanje vremenskog ograničenja izvršavanja skripte.
- mod_xml2enc pruža kompatibilnost s libxml2 2.12.0 i kasnijim izdanjima.
- U mod_ssl, standardne OpenSSL funkcije koriste se za sastavljanje popisa imena certifikacijskih tijela prilikom obrade direktiva SSLCACertificatePath i SSLCADNRequestPath.
- mod_xml2enc pruža XML obradu za bilo koji tekst/* i XML MIME tipove kako bi se spriječilo oštećenje podataka u Microsoft OOXML formatima.
- U uslužnom programu htcacheclean, kada se specificiraju opcije -a/-A, moguće je nabrojati sve datoteke za svaki poddirektorij.
- U mod_ssl, direktive SSLProxyMachineCertificateFile/Path dopuštaju referencu na datoteke koje sadrže certifikate autoriteta za izdavanje certifikata.
- Dokumentacija za pomoćne programe htpasswd, htdbm i dbmmanage pojašnjava da oni koriste raspršivanje, a ne enkripciju lozinke.
- htpasswd je dodao podršku za obradu hashova zaporki pomoću SHA-2 algoritma.
- Mod_env dopušta nadjačavanje varijabli okruženja sustava.
- mod_ldap implementira HTML izbjegavanje u zaglavlju ldap-statusa.
- mod_ssl poboljšava kompatibilnost s OpenSSL 3 i osigurava da se oslobođena memorija vraća sustavu.
- mod_proxy omogućuje postavljanje TTL-a za konfiguriranje životnog vijeka unosa u predmemoriju DNS odgovora.
- U mod_proxy, dodana je podrška za treći argument parametru ProxyRemote, putem kojeg možete konfigurirati vjerodajnice za osnovnu provjeru autentičnosti koja se prenosi vanjskom proxyju.
Izvor: opennet.ru