Megjelent a könnyű http szerver lighttpd 1.4.64. Az új verzió 95 módosítást vezet be, beleértve az alapértelmezett értékek korábban tervezett módosításait és az elavult funkciók megtisztítását:
- A kecses újraindítási/leállítási műveletek alapértelmezett időtúllépése végtelenről 8 másodpercre csökkent. Az időtúllépés a "server.graceful-shutdown-timeout" opcióval konfigurálható.
- Megtörtént az átállás az összeállítás használatára a PCRE2 könyvtárral (--with-pcre2), a PCRE régi verziójához való visszatéréshez használhatja a "--with-pcre" opciót.
- A korábban elavult modulokat eltávolítottuk:
- mod_geoip (a mod_maxminddb-t kell használnia),
- mod_authn_mysql (a mod_authn_dbi-t kell használnia),
- mod_mysql_vhost (a mod_vhostdb_dbi-t kell használnia),
- mod_cml (a mod_magnet-ot kell használnia),
- mod_flv_streaming (értelmét vesztette az Adobe Flash lejárta után),
- mod_trigger_b4_dl (a Lua helyett helyettesítőt kell használnia).
A Lighttpd 1.4.64 javítja a mod_extforward modulban található biztonsági rést (CVE-2022-22707), amely 4 bájtos puffertúlcsordulást okoz a Forwarded HTTP fejlécben lévő adatok feldolgozásakor. A fejlesztők szerint a probléma a szolgáltatásmegtagadásra korlátozódik, és lehetővé teszi egy háttérfolyamat abnormális leállításának távoli kezdeményezését. A kiaknázás csak akkor lehetséges, ha a továbbított fejléckezelő engedélyezve van, és nem jelenik meg az alapértelmezett konfigurációban.
Forrás: opennet.ru