Server http ringan lighttpd 1.4.64 telah dirilis. Versi baru memperkenalkan 95 perubahan, termasuk perubahan yang direncanakan sebelumnya pada nilai default dan pembersihan fungsi yang sudah ketinggalan zaman:
- Batas waktu default untuk operasi restart/shutdown yang baik telah dikurangi dari tak terhingga menjadi 8 detik. Batas waktu dapat dikonfigurasi menggunakan opsi "server.graceful-shutdown-timeout".
- Transisi untuk menggunakan perakitan dengan perpustakaan PCRE2 (--with-pcre2) telah dilakukan, untuk kembali ke PCRE versi lama, Anda dapat menggunakan opsi "--with-pcre".
- Modul yang sebelumnya tidak digunakan lagi telah dihapus:
- mod_geoip (Anda perlu menggunakan mod_maxminddb),
- mod_authn_mysql (Anda perlu menggunakan mod_authn_dbi),
- mod_mysql_vhost (Anda perlu menggunakan mod_vhostdb_dbi),
- mod_cml (Anda perlu menggunakan mod_magnet),
- mod_flv_streaming (kehilangan makna setelah Adobe Flash kedaluwarsa),
- mod_trigger_b4_dl (Anda perlu menggunakan pengganti Lua).
Lighttpd 1.4.64 juga memperbaiki kerentanan (CVE-2022-22707) pada modul mod_extforward yang menyebabkan buffer overflow 4-byte saat memproses data di header HTTP yang Diteruskan. Menurut pengembangnya, masalahnya terbatas pada penolakan layanan dan memungkinkan Anda memulai penghentian proses latar belakang secara tidak normal dari jarak jauh. Eksploitasi hanya mungkin dilakukan jika pengendali header yang Diteruskan diaktifkan dan tidak muncul dalam konfigurasi default.
Sumber: opennet.ru