Лесниот http сервер lighttpd 1.4.64 е објавен. Новата верзија воведува 95 промени, вклучувајќи ги претходно планираните промени на стандардните вредности и чистење на застарената функционалност:
- Стандардниот истек на време за благодатно рестартирање/исклучување е намален од бесконечност на 8 секунди. Истекот на времето може да се конфигурира со користење на опцијата „server.graceful-shutdown-timeout“.
- Преминот кон користење на склопот со библиотеката PCRE2 (--with-pcre2) е направен; за да се вратите на старата верзија на PCRE, можете да ја користите опцијата „--with-pcre“.
- Модулите претходно застарени се отстранети:
- mod_geoip (треба да користите mod_maxminddb),
- mod_authn_mysql (треба да користите mod_authn_dbi),
- mod_mysql_vhost (треба да користите mod_vhostdb_dbi),
- mod_cml (треба да користите mod_magnet),
- mod_flv_streaming (изгубено значење по истекот на Adobe Flash),
- mod_trigger_b4_dl (треба да користите замена за Lua).
Lighttpd 1.4.64, исто така, поправа ранливост (CVE-2022-22707) во модулот mod_extforward што предизвикува прелевање на баферот од 4 бајти при обработката на податоците во заглавието Forwarded HTTP. Според програмерите, проблемот е ограничен на одбивање на услугата и ви овозможува од далечина да иницирате ненормално завршување на процес во позадина. Експлоатацијата е можна само кога управувачот за препратени заглавија е овозможен и не се појавува во стандардната конфигурација.
Извор: opennet.ru