ಹಗುರವಾದ http ಸರ್ವರ್ lighttpd 1.4.64 ಅನ್ನು ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿದೆ. ಹೊಸ ಆವೃತ್ತಿಯು 95 ಬದಲಾವಣೆಗಳನ್ನು ಪರಿಚಯಿಸುತ್ತದೆ, ಪೂರ್ವನಿಯೋಜಿತ ಮೌಲ್ಯಗಳಿಗೆ ಈ ಹಿಂದೆ ಯೋಜಿಸಲಾದ ಬದಲಾವಣೆಗಳು ಮತ್ತು ಹಳತಾದ ಕ್ರಿಯಾತ್ಮಕತೆಯ ಸ್ವಚ್ಛಗೊಳಿಸುವಿಕೆ ಸೇರಿದಂತೆ:
- ಆಕರ್ಷಕವಾದ ಮರುಪ್ರಾರಂಭ/ಶಟ್ಡೌನ್ ಕಾರ್ಯಾಚರಣೆಗಳಿಗಾಗಿ ಡೀಫಾಲ್ಟ್ ಸಮಯ ಮೀರುವಿಕೆಯನ್ನು ಅನಂತದಿಂದ 8 ಸೆಕೆಂಡುಗಳಿಗೆ ಕಡಿಮೆ ಮಾಡಲಾಗಿದೆ. "server.graceful-shutdown-timeout" ಆಯ್ಕೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಸಮಯ ಮೀರುವಿಕೆಯನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು.
- PCRE2 ಲೈಬ್ರರಿ (--with-pcre2) ನೊಂದಿಗೆ ಅಸೆಂಬ್ಲಿಯನ್ನು ಬಳಸುವ ಪರಿವರ್ತನೆಯನ್ನು ಮಾಡಲಾಗಿದೆ; PCRE ನ ಹಳೆಯ ಆವೃತ್ತಿಗೆ ಹಿಂತಿರುಗಲು, ನೀವು "--with-pcre" ಆಯ್ಕೆಯನ್ನು ಬಳಸಬಹುದು.
- ಈ ಹಿಂದೆ ಅಸಮ್ಮತಿಸಿದ ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ತೆಗೆದುಹಾಕಲಾಗಿದೆ:
- mod_geoip (ನೀವು mod_maxminddb ಅನ್ನು ಬಳಸಬೇಕಾಗುತ್ತದೆ),
- mod_authn_mysql (ನೀವು mod_authn_dbi ಅನ್ನು ಬಳಸಬೇಕಾಗುತ್ತದೆ),
- mod_mysql_vhost (ನೀವು mod_vhostdb_dbi ಅನ್ನು ಬಳಸಬೇಕಾಗುತ್ತದೆ),
- mod_cml (ನೀವು mod_magnet ಅನ್ನು ಬಳಸಬೇಕಾಗುತ್ತದೆ),
- mod_flv_streaming (ಅಡೋಬ್ ಫ್ಲ್ಯಾಶ್ ಅವಧಿ ಮುಗಿದ ನಂತರ ಅರ್ಥವನ್ನು ಕಳೆದುಕೊಂಡಿತು),
- mod_trigger_b4_dl (ನೀವು Lua ಗೆ ಬದಲಿಯನ್ನು ಬಳಸಬೇಕಾಗುತ್ತದೆ).
Lighttpd 1.4.64 mod_extforward ಮಾಡ್ಯೂಲ್ನಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು (CVE-2022-22707) ಸರಿಪಡಿಸುತ್ತದೆ, ಅದು ಫಾರ್ವರ್ಡ್ ಮಾಡಿದ HTTP ಹೆಡರ್ನಲ್ಲಿ ಡೇಟಾವನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ 4-ಬೈಟ್ ಬಫರ್ ಓವರ್ಫ್ಲೋಗೆ ಕಾರಣವಾಗುತ್ತದೆ. ಅಭಿವರ್ಧಕರ ಪ್ರಕಾರ, ಸಮಸ್ಯೆಯು ಸೇವೆಯ ನಿರಾಕರಣೆಗೆ ಸೀಮಿತವಾಗಿದೆ ಮತ್ತು ಹಿನ್ನೆಲೆ ಪ್ರಕ್ರಿಯೆಯ ಅಸಹಜ ಮುಕ್ತಾಯವನ್ನು ದೂರದಿಂದಲೇ ಪ್ರಾರಂಭಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಫಾರ್ವರ್ಡ್ ಮಾಡಿದ ಹೆಡರ್ ಹ್ಯಾಂಡ್ಲರ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದಾಗ ಮತ್ತು ಡೀಫಾಲ್ಟ್ ಕಾನ್ಫಿಗರೇಶನ್ನಲ್ಲಿ ಗೋಚರಿಸದಿದ್ದಾಗ ಮಾತ್ರ ಶೋಷಣೆ ಸಾಧ್ಯ.
ಮೂಲ: opennet.ru