ಹಗುರವಾದ http ಸರ್ವರ್ lighttpd 1.4.64 ಬಿಡುಗಡೆಯಾಗಿದೆ. ಹೊಸ ಆವೃತ್ತಿಯು ಹಿಂದೆ ಯೋಜಿಸಲಾದ ಡೀಫಾಲ್ಟ್ ಮೌಲ್ಯ ಬದಲಾವಣೆಗಳು ಮತ್ತು ಹಳೆಯ ಕಾರ್ಯನಿರ್ವಹಣೆಯ ಶುಚಿಗೊಳಿಸುವಿಕೆಯನ್ನು ಒಳಗೊಂಡಂತೆ 95 ಬದಲಾವಣೆಗಳನ್ನು ಒಳಗೊಂಡಿದೆ:
- ಆಕರ್ಷಕವಾದ ಮರುಪ್ರಾರಂಭ/ಸ್ಥಗಿತಗೊಳಿಸುವ ಕಾರ್ಯಾಚರಣೆಗಳ ಪೂರ್ವನಿಯೋಜಿತ ಸಮಯ ಮೀರುವಿಕೆಯನ್ನು ಅನಂತದಿಂದ 8 ಸೆಕೆಂಡುಗಳಿಗೆ ಇಳಿಸಲಾಗಿದೆ. "server.graceful-shutdown-timeout" ಆಯ್ಕೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಸಮಯ ಮೀರುವಿಕೆಯನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು.
- PCRE2 ಲೈಬ್ರರಿಯೊಂದಿಗೆ (--with-pcre2) ಅಸೆಂಬ್ಲಿಯನ್ನು ಬಳಸುವ ಪರಿವರ್ತನೆ ಮಾಡಲಾಗಿದೆ; PCRE ನ ಹಳೆಯ ಆವೃತ್ತಿಗೆ ಹಿಂತಿರುಗಲು, ನೀವು "--with-pcre" ಆಯ್ಕೆಯನ್ನು ಬಳಸಬಹುದು.
- ಹಿಂದೆ ಬಳಕೆಯಲ್ಲಿಲ್ಲದ ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ತೆಗೆದುಹಾಕಲಾಗಿದೆ:
- mod_geoip (mod_maxminddb ಅನ್ನು ಬಳಸಬೇಕು),
- mod_authn_mysql (mod_authn_dbi ಅನ್ನು ಬಳಸಬೇಕು),
- mod_mysql_vhost (mod_vhostdb_dbi ಅನ್ನು ಬಳಸಬೇಕು),
- mod_cml (mod_magnet ಬಳಸಬೇಕು),
- mod_flv_streaming (ಅಡೋಬ್ ಫ್ಲ್ಯಾಶ್ ಅವಧಿ ಮುಗಿದ ನಂತರ ಅದರ ಅರ್ಥವನ್ನು ಕಳೆದುಕೊಂಡಿತು),
- mod_trigger_b4_dl (ಲುವಾ ಬದಲಿ ಬಳಸಬೇಕು).
ಫಾರ್ವರ್ಡ್ ಮಾಡಿದ HTTP ಹೆಡರ್ನಲ್ಲಿ ಡೇಟಾವನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸುವಾಗ 1.4.64-ಬೈಟ್ ಬಫರ್ ಓವರ್ಫ್ಲೋಗೆ ಕಾರಣವಾಗುವ mod_extforward ಮಾಡ್ಯೂಲ್ನಲ್ಲಿನ ದುರ್ಬಲತೆಯನ್ನು (CVE-2022-22707) Lighttpd 4 ಸಹ ಸರಿಪಡಿಸುತ್ತದೆ. ಡೆವಲಪರ್ಗಳ ಪ್ರಕಾರ, ಸಮಸ್ಯೆಯು ಸೇವೆಯ ನಿರಾಕರಣೆಗೆ ಸೀಮಿತವಾಗಿದೆ ಮತ್ತು ಹಿನ್ನೆಲೆ ಪ್ರಕ್ರಿಯೆಯ ಅಸಹಜ ಮುಕ್ತಾಯದ ರಿಮೋಟ್ ಆರಂಭವನ್ನು ಅನುಮತಿಸುತ್ತದೆ. ಫಾರ್ವರ್ಡ್ ಮಾಡಿದ ಹೆಡರ್ ಹ್ಯಾಂಡ್ಲರ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದಾಗ ಮತ್ತು ಡೀಫಾಲ್ಟ್ ಕಾನ್ಫಿಗರೇಶನ್ನಲ್ಲಿ ಸಂಭವಿಸದಿದ್ದಾಗ ಮಾತ್ರ ಶೋಷಣೆ ಸಾಧ್ಯ.
ಮೂಲ: opennet.ru
