Жеңил http сервери lighttpd 1.4.64 чыгарылды. Жаңы версия 95 өзгөртүүлөрдү киргизет, анын ичинде демейки маанилерге мурда пландаштырылган өзгөртүүлөр жана эскирген функцияларды тазалоо:
- Кереметтүү кайра күйгүзүү/өчүрүү операциялары үчүн демейки күтүү чексиздиктен 8 секундага чейин кыскартылды. Таймоотту "server.graceful-shutdown-timeout" опциясы аркылуу конфигурациялоого болот.
- PCRE2 китепканасы (--with-pcre2) менен жыйынды колдонууга өтүү жасалды; PCREнин эски версиясына кайтуу үчүн "--with-pcre" опциясын колдонсоңуз болот.
- Мурда эскирген модулдар алынып салынды:
- mod_geoip (сиз mod_maxminddb колдонушуңуз керек),
- mod_authn_mysql (mod_authn_dbi колдонушуңуз керек),
- mod_mysql_vhost (сиз mod_vhostdb_dbi колдонушуңуз керек),
- mod_cml (mod_magnet колдонушуңуз керек),
- mod_flv_streaming (Adobe Flash мөөнөтү аяктагандан кийин маанисин жоготкон),
- mod_trigger_b4_dl (сиз Луа үчүн алмаштырууну колдонушуңуз керек).
Lighttpd 1.4.64 ошондой эле mod_extforward модулундагы (CVE-2022-22707) кемчиликти оңдойт, ал Forwarded HTTP башындагы маалыматтарды иштетүүдө 4 байт буфердин толуп кетишине алып келет. Иштеп чыгуучулардын айтымында, көйгөй кызмат көрсөтүүдөн баш тартуу менен чектелет жана фон процессинин анормалдуу токтотулушун алыстан баштоого мүмкүндүк берет. Эксплуатация Forwarded header handler иштетилгенде жана демейки конфигурацияда көрүнбөгөндө гана мүмкүн болот.
Source: opennet.ru