שרת ה-http קל המשקל lighttpd גרסה 1.4.64 שוחרר. הגרסה החדשה כוללת 95 שינויים, כולל שינויים בערכי ברירת מחדל שתוכננו בעבר וניקוי של פונקציונליות מיושנת:
- זמן הקצוב המוגדר כברירת מחדל לפעולות הפעלה מחדש/כיבוי מהירים הופחת מאינסוף ל-8 שניות. ניתן להגדיר את זמן הקצוב באמצעות האפשרות "server.graceful-shutdown-timeout".
- המעבר לשימוש באסמבלי עם ספריית PCRE2 (--with-pcre2) בוצע; כדי לחזור לגרסה הישנה של PCRE, ניתן להשתמש באפשרות "--with-pcre".
- מודולים שהוצאו משימוש בעבר הוסרו:
- mod_geoip (חובה להשתמש ב-mod_maxminddb),
- mod_authn_mysql (חובה להשתמש ב- mod_authn_dbi),
- mod_mysql_vhost (חובה להשתמש ב-mod_vhostdb_dbi),
- mod_cml (חובה להשתמש ב- mod_magnet),
- mod_flv_streaming (איבד את משמעותו לאחר שפג תוקפו של Adobe Flash),
- mod_trigger_b4_dl (צריך להשתמש בתחליף Lua).
Lighttpd 1.4.64 גם מתקן פגיעות (CVE-2022-22707) במודול mod_extforward שגורמת לגלישה של 4 בתים במאגר בעת עיבוד נתונים בכותרת Forwarded HTTP. לדברי המפתחים, הבעיה מוגבלת למניעת שירות ומאפשרת הפעלה מרחוק של סיום חריג של תהליך רקע. ניצול אפשרי רק כאשר מטפל הכותרת Forwarded מופעל ואינו מתרחש בתצורת ברירת המחדל.
מקור: OpenNet.ru
