Ir izlaists vieglais http serveris lighttpd 1.4.64. Jaunajā versijā ir ieviestas 95 izmaiņas, tostarp iepriekš plānotās noklusējuma vērtību izmaiņas un novecojušo funkcionalitātes tīrīšana:
- Graciozu restartēšanas/izslēgšanas darbību noklusējuma taimauts ir samazināts no bezgalības līdz 8 sekundēm. Taimautu var konfigurēt, izmantojot opciju "server.graceful-shutdown-timeout".
- Ir veikta pāreja uz montāžas izmantošanu ar PCRE2 bibliotēku (--ar-pcre2); lai atgrieztos pie vecās PCRE versijas, varat izmantot opciju "--with-pcre".
- Iepriekš novecojušie moduļi ir noņemti:
- mod_geoip (jums jāizmanto mod_maxminddb),
- mod_authn_mysql (jums jāizmanto mod_authn_dbi),
- mod_mysql_vhost (jums jāizmanto mod_vhostdb_dbi),
- mod_cml (jums jāizmanto mod_magnet),
- mod_flv_streaming (zaudēja nozīmi pēc Adobe Flash derīguma termiņa beigām),
- mod_trigger_b4_dl (jums ir jāizmanto Lua aizstājējs).
Lighttpd 1.4.64 arī novērš mod_extforward moduļa ievainojamību (CVE-2022-22707), kas izraisa 4 baitu bufera pārpildīšanu, apstrādājot datus pārsūtītā HTTP galvenē. Pēc izstrādātāju domām, problēma aprobežojas ar pakalpojuma atteikumu un ļauj attālināti uzsākt fona procesa neparastu pārtraukšanu. Ekspluatācija ir iespējama tikai tad, ja ir iespējots pārsūtītās galvenes apstrādātājs un tas netiek rādīts noklusējuma konfigurācijā.
Avots: opennet.ru