È stato rilasciato il server http leggero lighttpd 1.4.64. La nuova versione include 95 modifiche, tra cui l'applicazione delle modifiche ai valori predefiniti precedentemente pianificati e una pulizia delle funzionalità obsolete:
- Il timeout predefinito per le operazioni di riavvio/ arresto graceful è stato ridotto da infinito a 8 secondi. Il timeout può essere configurato utilizzando l'opzione «server.graceful-shutdown-timeout».
- È stato effettuato il passaggio all'uso della build con la libreria PCRE2 (—with-pcre2); per tornare alla vecchia versione di PCRE, è possibile utilizzare l'opzione «—with-pcre».
- Sono stati rimossi i moduli precedentemente dichiarati obsoleti:
- mod_geoip (utilizzare mod_maxminddb)
- mod_authn_mysql (utilizzare mod_authn_dbi)
- mod_mysql_vhost (utilizzare mod_vhostdb_dbi)
- mod_cml (utilizzare mod_magnet)
- mod_flv_streaming (non ha più senso dopo la fine della vita di Adobe Flash)
- mod_trigger_b4_dl (utilizzare il sostituto in Lua).
In Lighttpd 1.4.64 è stata anche risolta una vulnerabilità (CVE-2022-22707) nel modulo mod_extforward, che causa un buffer overflow di 4 byte durante l'elaborazione dei dati nell'intestazione HTTP Forwarded. Secondo gli sviluppatori, il problema si limita a un'interruzione del servizio e consente di avviare da remoto un arresto anomalo del processo in background. L'exploit è possibile solo se è abilitato il gestore dell'intestazione Forwarded e non si manifesta nella configurazione predefinita.

Fonte: opennet.ru
