È stato rilasciato il leggero server http lighttpd 1.4.64. La nuova versione introduce 95 modifiche, comprese modifiche precedentemente pianificate ai valori predefiniti e una pulizia delle funzionalità obsolete:
- Il timeout predefinito per le operazioni di riavvio/spegnimento regolari è stato ridotto da infinito a 8 secondi. Il timeout può essere configurato utilizzando l'opzione "server.graceful-shutdown-timeout".
- È stato effettuato il passaggio all'utilizzo dell'assembly con la libreria PCRE2 (--with-pcre2); per ritornare alla vecchia versione di PCRE è possibile utilizzare l'opzione "--with-pcre".
- I moduli precedentemente deprecati sono stati rimossi:
- mod_geoip (devi usare mod_maxminddb),
- mod_authn_mysql (devi usare mod_authn_dbi),
- mod_mysql_vhost (devi usare mod_vhostdb_dbi),
- mod_cml (devi usare mod_magnet),
- mod_flv_streaming (significato perso dopo la scadenza di Adobe Flash),
- mod_trigger_b4_dl (è necessario utilizzare un sostituto per Lua).
Lighttpd 1.4.64 corregge anche una vulnerabilità (CVE-2022-22707) nel modulo mod_extforward che causa un overflow del buffer di 4 byte durante l'elaborazione dei dati nell'intestazione HTTP inoltrata. Secondo gli sviluppatori, il problema si limita ad un rifiuto di servizio e consente di avviare da remoto la chiusura anomala di un processo in background. Lo sfruttamento è possibile solo quando il gestore dell'intestazione inoltrata è abilitato e non appare nella configurazione predefinita.
Fonte: opennet.ru