Opublikowano wydanie lekkiego serwera http lighttpd 1.4.76, skupiającego się na połączeniu wysokiej wydajności, bezpieczeństwa, zgodności ze standardami i elastyczności konfiguracji. Lighttpd nadaje się do stosowania w mocno obciążonych systemach i ma na celu niskie zużycie pamięci i procesora. Kod projektu napisany jest w języku C i rozpowszechniany na licencji BSD.
W nowej wersji:
- Zapewniona jest detekcja ataku „Continuation Flood” realizowanego poprzez wysyłanie ciągłego strumienia ramek CONTINUATION do serwera HTTP/2 bez ustawiania flagi END_HEADERS. Stwierdzono, że atak ten nie powoduje odmowy usługi Lighttpd, ale jako dodatkowy środek dodano go w celu wykrycia go i wysłania odpowiedzi GO_AWAY.
- Uwzględniono incydent związany z wprowadzeniem backdoora do pakietu xz. Podczas tworzenia wydań do asemblowania zależności kod jest teraz pobierany z Gita za pomocą polecenia „git Archive” z weryfikacją przy użyciu tagów wydania i bez pobierania gotowych archiwów z kodem.
- Domyślnie dostarczany jest wbudowany plik mimetype.sign.
- Dodano obsługę rozszerzenia MPTCP (MultiPath TCP), które nie jest domyślnie włączone.
- Ulepszona obsługa platform GNU/Hurd i NetBSD 10.
- Zmniejszono liczbę wywołań systemowych wykonywanych podczas łączenia się z backendem.
- W przyszłych wersjach planowane jest ustawienie TLSv1.3 jako domyślnej minimalnej obsługiwanej wersji protokołu TLS (obecnie parametr MinProtocol jest ustawiony na TLSv1.2). W przyszłości procedura obsługi server.error-handler-404 będzie ograniczona do obsługi wyłącznie błędów 404 (obecnie obsługuje zarówno błędy 404, jak i 403).
Warto również zwrócić uwagę na wydanie serwera Apache HTTP 2.4.59, który wprowadził 21 zmian i naprawił trzy luki:
- CVE-2024-27316 to luka, która prowadzi do wyczerpania wolnej pamięci podczas ataku typu „Continuation Flood”.
- CVE-2024-24795, CVE-2023-38709 - możliwość przeprowadzenia ataku polegającego na dzieleniu odpowiedzi HTTP na systemy front-end-backend, pozwalającego na podstawianie dodatkowych nagłówków odpowiedzi lub dzielenie odpowiedzi w celu zaklinowania treści odpowiedzi do innych użytkowników przetwarzanych w tym samym wątku pomiędzy frontendem a backendem.
- Do modułu mod_cgi dodano parametr CGIScriptTimeout umożliwiający ustawienie limitu czasu wykonania skryptu.
- mod_xml2enc zapewnia zgodność z biblioteką libxml2 2.12.0 i nowszymi wersjami.
- W mod_ssl standardowe funkcje OpenSSL służą do tworzenia list nazw urzędów certyfikacji podczas przetwarzania dyrektyw SSLCACertificatePath i SSLCADDNRequestPath.
- mod_xml2enc zapewnia przetwarzanie XML dla dowolnych typów tekstowych/* i XML MIME, aby zapobiec uszkodzeniu danych w formatach Microsoft OOXML.
- W narzędziu htcacheclean po podaniu opcji -a/-A możliwe jest wyliczenie wszystkich plików w każdym podkatalogu.
- W mod_ssl dyrektywy SSLProxyMachineCertificateFile/Path umożliwiają odwoływanie się do plików zawierających certyfikaty urzędu certyfikacji.
- Dokumentacja narzędzi htpasswd, htdbm i dbmmanage wyjaśnia, że używają one funkcji mieszania, a nie szyfrowania haseł.
- htpasswd dodał obsługę przetwarzania skrótów haseł przy użyciu algorytmu SHA-2.
- Mod_env umożliwia nadpisywanie zmiennych środowiskowych systemu.
- mod_ldap implementuje ucieczkę HTML w nagłówku ldap-status.
- mod_ssl poprawia kompatybilność z OpenSSL 3 i zapewnia zwrot zwolnionej pamięci do systemu.
- mod_proxy umożliwia ustawienie TTL w celu skonfigurowania czasu życia wpisu w pamięci podręcznej odpowiedzi DNS.
- W mod_proxy dodano obsługę trzeciego argumentu do parametru ProxyRemote, za pomocą którego można skonfigurować poświadczenia dla uwierzytelniania podstawowego przesyłane do zewnętrznego serwera proxy.
Źródło: opennet.ru