De lichtgewicht http-server lighttpd 1.4.64 is uitgebracht. De nieuwe versie introduceert 95 wijzigingen, waaronder eerder geplande wijzigingen in standaardwaarden en een opschoning van verouderde functionaliteit:
- De standaardtime-out voor correcte herstart-/afsluitbewerkingen is teruggebracht van oneindig naar 8 seconden. De time-out kan worden geconfigureerd met de optie "server.graceful-shutdown-timeout".
- De overstap naar het gebruik van de assembly met de PCRE2-bibliotheek (--with-pcre2) is gemaakt; om terug te keren naar de oude versie van PCRE kunt u de optie "--with-pcre" gebruiken.
- Eerder verouderde modules zijn verwijderd:
- mod_geoip (je moet mod_maxminddb gebruiken),
- mod_authn_mysql (je moet mod_authn_dbi gebruiken),
- mod_mysql_vhost (je moet mod_vhostdb_dbi gebruiken),
- mod_cml (je moet mod_magnet gebruiken),
- mod_flv_streaming (verloren betekenis nadat Adobe Flash is verlopen),
- mod_trigger_b4_dl (je moet een vervanging voor Lua gebruiken).
Lighttpd 1.4.64 repareert ook een kwetsbaarheid (CVE-2022-22707) in de mod_extforward module die een bufferoverflow van 4 bytes veroorzaakt bij het verwerken van gegevens in de Forwarded HTTP-header. Volgens de ontwikkelaars beperkt het probleem zich tot een Denial of Service en kun je op afstand een abnormale beëindiging van een achtergrondproces initiëren. Exploitatie is alleen mogelijk als de handler Doorgestuurde header is ingeschakeld en niet verschijnt in de standaardconfiguratie.
Bron: opennet.ru