Keluaran pelayan http ringan lighttpd 1.4.76 telah diterbitkan, memfokuskan pada gabungan prestasi tinggi, keselamatan, pematuhan piawaian dan fleksibiliti konfigurasi. Lighttpd sesuai untuk digunakan pada sistem yang sangat dimuatkan dan bertujuan untuk penggunaan memori dan CPU yang rendah. Kod projek ditulis dalam C dan diedarkan di bawah lesen BSD.
Dalam versi baharu:
- Pengesanan serangan "Banjir penerusan" dilakukan dengan menghantar strim berterusan bingkai CONTINUATION ke pelayan HTTP/2 tanpa menetapkan bendera END_HEADERS disediakan. Dinyatakan bahawa serangan ini tidak mengakibatkan penafian perkhidmatan kepada lighttpd, tetapi sebagai langkah tambahan ia ditambah untuk mengesannya dan menghantar respons GO_AWAY.
- Insiden yang melibatkan pengenalan pintu belakang ke dalam pakej xz telah diambil kira. Apabila membuat keluaran untuk memasang kebergantungan, kod kini diambil daripada Git menggunakan arahan "arkib git" dengan pengesahan menggunakan teg keluaran dan tanpa memuat turun arkib siap pakai dengan kod.
- Secara lalai, fail mimetype.assign terbina dalam disediakan.
- Menambah sokongan untuk sambungan MPTCP (MultiPath TCP), yang tidak didayakan secara lalai.
- Sokongan yang lebih baik untuk platform GNU/Hurd dan NetBSD 10.
- Bilangan panggilan sistem yang dibuat semasa menyambung ke bahagian belakang telah dikurangkan.
- Dalam keluaran akan datang, ia dirancang untuk menetapkan TLSv1.3 sebagai versi lalai minimum yang disokong protokol TLS (pada masa ini parameter MinProtocol ditetapkan kepada TLSv1.2). Pada masa hadapan, pengendali server.error-handler-404 akan dihadkan kepada hanya mengendalikan 404 ralat (pada masa ini ia mengendalikan kedua-dua 404 dan 403).
Anda juga boleh perhatikan keluaran pelayan HTTP Apache 2.4.59, yang memperkenalkan 21 perubahan dan membetulkan tiga kelemahan:
- CVE-2024-27316 ialah kerentanan yang membawa kepada kehabisan memori bebas semasa serangan "Banjir Berterusan".
- CVE-2024-24795, CVE-2023-38709 - kemungkinan menjalankan serangan pemisahan tindak balas HTTP pada sistem hadapan-belakang-belakang, membolehkan penggantian pengepala respons tambahan atau pemisahan respons untuk mengisar kandungan jawapan kepada pengguna lain yang diproses dalam urutan yang sama antara bahagian hadapan dan hujung belakang.
- Parameter CGIScriptTimeout telah ditambahkan pada modul mod_cgi untuk menetapkan tamat masa pelaksanaan skrip.
- mod_xml2enc menyediakan keserasian dengan libxml2 2.12.0 dan keluaran yang lebih baru.
- Dalam mod_ssl, fungsi OpenSSL standard digunakan untuk memasang senarai nama pihak berkuasa pensijilan semasa memproses arahan SSLCACertificatePath dan SSLCADNRequestPath.
- mod_xml2enc menyediakan pemprosesan XML untuk sebarang jenis teks/* dan XML MIME untuk mengelakkan kerosakan data dalam format Microsoft OOXML.
- Dalam utiliti htcacheclean, apabila menentukan pilihan -a/-A, adalah mungkin untuk menghitung semua fail untuk setiap subdirektori.
- Dalam mod_ssl, arahan SSLProxyMachineCertificateFile/Path membenarkan rujukan kepada fail yang mengandungi sijil kuasa pensijilan.
- Dokumentasi untuk utiliti htpasswd, htdbm dan dbmmanage menjelaskan bahawa mereka menggunakan pencincangan, bukan penyulitan kata laluan.
- htpasswd telah menambah sokongan untuk memproses cincang kata laluan menggunakan algoritma SHA-2.
- Mod_env membenarkan mengatasi pembolehubah persekitaran sistem.
- mod_ldap melaksanakan HTML melarikan diri dalam pengepala status ldap.
- mod_ssl meningkatkan keserasian dengan OpenSSL 3 dan memastikan memori yang dibebaskan dikembalikan kepada sistem.
- mod_proxy membenarkan penetapan TTL untuk mengkonfigurasi seumur hidup entri dalam cache respons DNS.
- Dalam mod_proxy, sokongan untuk argumen ketiga telah ditambahkan pada parameter ProxyRemote, yang melaluinya anda boleh mengkonfigurasi kelayakan untuk pengesahan Asas yang dihantar kepada proksi luaran.
Sumber: opennet.ru