Server http entheng lighttpd 1.4.64 wis dirilis. Versi anyar ngenalake 95 owah-owahan, kalebu owah-owahan sing wis direncanakake sadurunge kanggo nilai standar lan ngresiki fungsi sing wis lawas:
- Wektu entek standar kanggo operasi miwiti maneh/mati wis suda saka tanpa wates dadi 8 detik. Wektu entek bisa dikonfigurasi nggunakake pilihan "server.graceful-shutdown-timeout".
- Transisi kanggo nggunakake perakitan karo perpustakaan PCRE2 (--with-pcre2) wis digawe; kanggo bali menyang versi lawas saka PCRE, sampeyan bisa nggunakake pilihan "--with-pcre".
- Modul sing sadurunge ora digunakake wis dibusak:
- mod_geoip (sampeyan kudu nggunakake mod_maxminddb),
- mod_authn_mysql (sampeyan kudu nggunakake mod_authn_dbi),
- mod_mysql_vhost (sampeyan kudu nggunakake mod_vhostdb_dbi),
- mod_cml (sampeyan kudu nggunakake mod_magnet),
- mod_flv_streaming (ilang makna sawise Adobe Flash kadaluwarsa),
- mod_trigger_b4_dl (sampeyan kudu nggunakake panggantos kanggo Lua).
Lighttpd 1.4.64 uga ndandani kerentanan (CVE-2022-22707) ing modul mod_extforward sing nyebabake kebanjiran buffer 4-bait nalika ngolah data ing header HTTP Diterusake. Miturut para pangembang, masalah kasebut diwatesi mung kanggo nolak layanan lan ngidini sampeyan miwiti mbatalake proses latar mburi sing ora normal. Eksploitasi mung bisa ditindakake nalika pawang header Diterusake diaktifake lan ora katon ing konfigurasi standar.
Source: opennet.ru