Թողարկվել է թեթև http սերվեր lighttpd 1.4.64-ը։ Նոր տարբերակը ներառում է 95 փոփոխություն, այդ թվում՝ նախկինում նախատեսված լռելյայն արժեքի փոփոխությունները և հնացած ֆունկցիոնալության մաքրումը։
- Graceous վերագործարկման/անջատման գործողությունների լռելյայն ժամկետը անսահմանությունից կրճատվել է մինչև 8 վայրկյան: Ժամանակը կարող է կարգավորվել «server.graceful-shutdown-timeout» տարբերակի միջոցով:
- Անցումը PCRE2 գրադարանի հետ ասամբլեայի օգտագործմանը (--with-pcre2) կատարվել է. PCRE-ի հին տարբերակին վերադառնալու համար կարող եք օգտագործել "--with-pcre" տարբերակը։
- Նախկինում հնացած մոդուլները հեռացվել են.
- mod_geoip (պարտադիր օգտագործել mod_maxminddb),
- mod_authn_mysql (պետք է օգտագործել mod_authn_dbi),
- mod_mysql_vhost (պարտադիր օգտագործել mod_vhostdb_dbi),
- mod_cml (պարտադիր օգտագործել mod_magnet),
- mod_flv_streaming (կորցրեց իր իմաստը Adobe Flash-ի ժամկետի ավարտից հետո),
- mod_trigger_b4_dl (անհրաժեշտ է օգտագործել Lua-ի փոխարինող):
Lighttpd 1.4.64-ը նաև շտկում է mod_extforward մոդուլի խոցելիությունը (CVE-2022-22707), որը Forwarded HTTP վերնագրում տվյալները մշակելիս առաջացնում է 4 բայթանոց բուֆերային արտահոսք: Մշակողների խոսքով՝ խնդիրը սահմանափակվում է ծառայության մերժմամբ և թույլ է տալիս հեռակա կերպով սկսել ֆոնային գործընթացի աննորմալ դադարեցումը: Շահագործումը հնարավոր է միայն այն դեպքում, երբ Forwarded վերնագրի մշակիչը միացված է և չի առաջանում լռելյայն կարգավորման մեջ:
Source: opennet.ru
