Den lette HTTP-serveren lighttpd 1.4.64 er utgitt. Den nye versjonen introduserer 95 endringer, inkludert tidligere planlagte endringer i standardverdier og avskrivning av utdatert funksjonalitet:
- Standard tidsavbrudd for grasiøse omstart-/avslutningsoperasjoner er redusert fra uendelig til 8 sekunder. Tidsavbruddet kan konfigureres ved hjelp av alternativet "server.graceful-shutdown-timeout".
- Overgangen til å bruke samlingen med PCRE2-biblioteket (--with-pcre2) er gjort; for å gå tilbake til den gamle versjonen av PCRE kan du bruke alternativet "--with-pcre".
- Tidligere utdaterte moduler er fjernet:
- mod_geoip (må bruke mod_maxminddb),
- mod_authn_mysql (må bruke mod_authn_dbi),
- mod_mysql_vhost (du må bruke mod_vhostdb_dbi),
- mod_cml (må bruke mod_magnet),
- mod_flv_streaming (utdatert etter at Adobe Flash ble utfaset),
- mod_trigger_b4_dl (må bruke Lua-erstatning).
Lighttpd 1.4.64 fikser også en sårbarhet (CVE-2022-22707) i mod_extforward-modulen som forårsaker en 4-byte bufferoverløp ved behandling av data i Forwarded HTTP-headeren. Ifølge utviklerne er problemet begrenset til tjenestenektelse og lar eksterne angripere starte en bakgrunnsprosesskrasj. Utnyttelse er bare mulig med Forwarded-headerhåndtereren aktivert og er ikke tilstede i standardkonfigurasjonen.
Kilde: opennet.ru
