O servidor http leve lighttpd 1.4.64 foi lançado. A nova versão introduz 95 alterações, incluindo alterações previamente planejadas nos valores padrão e uma limpeza de funcionalidades desatualizadas:
- O tempo limite padrão para operações de reinicialização/desligamento normal foi reduzido de infinito para 8 segundos. O tempo limite pode ser configurado usando a opção "server.graceful-shutdown-timeout".
- A transição para o uso do assembly com a biblioteca PCRE2 (--with-pcre2) foi feita; para retornar à versão antiga do PCRE, você pode usar a opção "--with-pcre".
- Os módulos anteriormente obsoletos foram removidos:
- mod_geoip (você precisa usar mod_maxminddb),
- mod_authn_mysql (você precisa usar mod_authn_dbi),
- mod_mysql_vhost (você precisa usar mod_vhostdb_dbi),
- mod_cml (você precisa usar mod_magnet),
- mod_flv_streaming (significado perdido após o Adobe Flash expirar),
- mod_trigger_b4_dl (você precisa usar um substituto para Lua).
Lighttpd 1.4.64 também corrige uma vulnerabilidade (CVE-2022-22707) no módulo mod_extforward que causa um buffer overflow de 4 bytes ao processar dados no cabeçalho HTTP encaminhado. Segundo os desenvolvedores, o problema se limita a uma negação de serviço e permite iniciar remotamente um encerramento anormal de um processo em segundo plano. A exploração só é possível quando o manipulador de cabeçalho encaminhado está habilitado e não aparece na configuração padrão.
Fonte: opennet.ru