Serverul http lighttpd 1.4.64 lightweight a fost lansat. Noua versiune introduce 95 de modificări, inclusiv aplicarea modificărilor planificate anterior la valorile implicite și curățarea funcționalităților depreciate:
- Timpul de expirare implicit pentru operațiunile de repornire/oprire grațioasă a fost redus de la infinit la 8 secunde. Timeout-ul poate fi configurat folosind opțiunea „server.graceful-shutdown-timeout”.
- S-a făcut trecerea la utilizarea asamblarii cu biblioteca PCRE2 (--with-pcre2), pentru a reveni la versiunea veche de PCRE, puteți folosi opțiunea „--with-pcre”.
- Module eliminate anterior depreciate:
- mod_geoip (trebuie să folosească mod_maxminddb),
- mod_authn_mysql (trebuie să folosească mod_authn_dbi),
- mod_mysql_vhost (trebuie să folosească mod_vhostdb_dbi),
- mod_cml (trebuie să folosească mod_magnet),
- mod_flv_streaming (sens pierdut după expirarea Adobe Flash),
- mod_trigger_b4_dl (trebuie să folosească înlocuirea Lua).
Lighttpd 1.4.64 remediază, de asemenea, o vulnerabilitate (CVE-2022-22707) în modulul mod_extforward care provoacă o depășire a memoriei tampon de 4 octeți la procesarea datelor în antetul HTTP Forwarded. Potrivit dezvoltatorilor, problema se limitează la o refuz de serviciu și vă permite să inițiați de la distanță o terminare anormală a unui proces de fundal. Operarea este posibilă numai atunci când handlerul antet redirecționat este activat și nu apare în configurația implicită.
Sursa: opennet.ru