Odľahčený http server lighttpd 1.4.64 bol vydaný. Nová verzia prináša 95 zmien vrátane predtým plánovaných zmien predvolených hodnôt a vyčistenia zastaraných funkcií:
- Predvolený časový limit pre operatívne reštartovanie/vypnutie sa skrátil z nekonečna na 8 sekúnd. Časový limit je možné nakonfigurovať pomocou možnosti „server.graceful-shutdown-timeout“.
- Prechod na používanie zostavy s knižnicou PCRE2 (--with-pcre2) bol vykonaný, ak sa chcete vrátiť k starej verzii PCRE, môžete použiť možnosť "--with-pcre".
- Moduly, ktoré boli v minulosti zastarané, boli odstránené:
- mod_geoip (musíte použiť mod_maxminddb),
- mod_authn_mysql (musíte použiť mod_authn_dbi),
- mod_mysql_vhost (musíte použiť mod_vhostdb_dbi),
- mod_cml (musíte použiť mod_magnet),
- mod_flv_streaming (stratil význam po vypršaní Adobe Flash),
- mod_trigger_b4_dl (treba použiť náhradu za Lua).
Lighttpd 1.4.64 tiež opravuje zraniteľnosť (CVE-2022-22707) v module mod_extforward, ktorá spôsobuje pretečenie 4-bajtovej vyrovnávacej pamäte pri spracovaní údajov v hlavičke Forwarded HTTP. Podľa vývojárov je problém obmedzený na odmietnutie služby a umožňuje vám na diaľku iniciovať abnormálne ukončenie procesu na pozadí. Využitie je možné len vtedy, keď je povolený obslužný program hlavičky Forwarded a nezobrazuje sa v predvolenej konfigurácii.
Zdroj: opennet.ru