Lejè http sèvè lighttpd 1.4.64 te lage. Nouvo vèsyon an prezante 95 chanjman, ki gen ladan chanjman ki te deja planifye nan valè default ak yon netwayaj nan fonksyonalite demode:
- Te delè default pou rekòmanse/fè operasyon grasyeuz yo te redwi soti nan enfini a 8 segonn. Ka delè a dwe configuré lè l sèvi avèk "server.graceful-shutdown-timeout" opsyon.
- Tranzisyon pou itilize asanble a ak bibliyotèk PCRE2 (--with-pcre2) te fèt; pou retounen nan ansyen vèsyon PCRE, ou ka itilize opsyon "--with-pcre".
- Yo te retire modil ki te obsève anvan yo:
- mod_geoip (ou bezwen sèvi ak mod_maxminddb),
- mod_authn_mysql (ou bezwen sèvi ak mod_authn_dbi),
- mod_mysql_vhost (ou bezwen sèvi ak mod_vhostdb_dbi),
- mod_cml (ou bezwen sèvi ak mod_magnet),
- mod_flv_streaming (pèdi siyifikasyon apre Adobe Flash ekspire),
- mod_trigger_b4_dl (ou bezwen sèvi ak yon ranplasman pou Lua).
Lighttpd 1.4.64 tou ranje yon vilnerabilite (CVE-2022-22707) nan mod_extforward modil la ki lakòz yon debòde tanpon 4-byte lè yo trete done nan header HTTP Forwarded la. Dapre devlopè yo, pwoblèm nan limite a sa sèlman yon refi sèvis ak pèmèt ou adistans kòmanse yon revokasyon nòmal nan yon pwosesis background. Eksplwatasyon posib sèlman lè moun kap okipe tèt Transmèt la aktive epi li pa parèt nan konfigirasyon default la.
Sous: opennet.ru