Wydano lekki serwer http lighttpd 1.4.64. Nowa wersja wprowadza 95 zmian, w tym zaplanowane wcześniej zmiany wartości domyślnych i uporządkowanie przestarzałej funkcjonalności:
- Domyślny limit czasu dla płynnych operacji ponownego uruchamiania/zamykania został zmniejszony z nieskończoności do 8 sekund. Limit czasu można skonfigurować za pomocą opcji „server.graceful-shutdown-timeout”.
- Dokonano przejścia do korzystania z zestawu z biblioteką PCRE2 (--with-pcre2), aby powrócić do starej wersji PCRE, można skorzystać z opcji „--with-pcre”.
- Moduły wcześniej przestarzałe zostały usunięte:
- mod_geoip (musisz użyć mod_maxminddb),
- mod_authn_mysql (musisz użyć mod_authn_dbi),
- mod_mysql_vhost (musisz użyć mod_vhostdb_dbi),
- mod_cml (musisz użyć mod_magnet),
- mod_flv_streaming (utracone znaczenie po wygaśnięciu Adobe Flash),
- mod_trigger_b4_dl (musisz użyć zamiennika Lua).
Lighttpd 1.4.64 naprawia także lukę (CVE-2022-22707) w module mod_extforward, która powoduje przepełnienie 4-bajtowego bufora podczas przetwarzania danych w nagłówku HTTP Forwarded. Według twórców problem ogranicza się do odmowy usługi i umożliwia zdalne zainicjowanie nieprawidłowego zakończenia procesu w tle. Eksploatacja jest możliwa tylko wtedy, gdy obsługa nagłówka przesłanego dalej jest włączona i nie pojawia się w konfiguracji domyślnej.
Źródło: opennet.ru