Server http entheng lighttpd 1.4.64 wis dirilis. Versi anyar nduweni 95 owah-owahan, kalebu owah-owahan nilai standar sing wis direncanakake sadurunge lan ngresiki fungsi sing wis lawas:
- Wektu entek standar kanggo operasi miwiti maneh/mati wis suda saka tanpa wates dadi 8 detik. Wektu entek bisa dikonfigurasi nggunakake pilihan "server.graceful-shutdown-timeout".
- Transisi kanggo nggunakake perakitan karo perpustakaan PCRE2 (--karo-pcre2) wis digawe; kanggo bali menyang PCRE versi lawas, sampeyan bisa nggunakake pilihan "--with-pcre".
- Modul sing sadurunge ora digunakake wis dibusak:
- mod_geoip (kudu nggunakake mod_maxminddb),
- mod_authn_mysql (kudu nggunakake mod_authn_dbi),
- mod_mysql_vhost (kudu nggunakake mod_vhostdb_dbi),
- mod_cml (kudu nggunakake mod_magnet),
- mod_flv_streaming (ilang artine sawise Adobe Flash kadaluwarsa),
- mod_trigger_b4_dl (kudu nggunakake panggantos Lua).
Lighttpd 1.4.64 uga ndandani kerentanan (CVE-2022-22707) ing modul mod_extforward sing nyebabake kebanjiran buffer 4-bait nalika ngolah data ing header HTTP Diterusake. Miturut pangembang, masalah kasebut diwatesi kanggo nolak layanan lan ngidini wiwitan remot kanggo mungkasi proses latar mburi sing ora normal. Eksploitasi mung bisa ditindakake nalika pawang header Diterusake diaktifake lan ora kedadeyan ing konfigurasi standar.
Source: opennet.ru
