Bolo zverejnené vydanie ľahkého http servera lighttpd 1.4.76 zameraného na kombináciu vysokého výkonu, bezpečnosti, súladu so štandardmi a flexibility konfigurácie. Lighttpd je vhodný na použitie na vysoko zaťažených systémoch a je zameraný na nízku spotrebu pamäte a CPU. Kód projektu je napísaný v jazyku C a distribuovaný pod licenciou BSD.
V novej verzii:
- Je zabezpečená detekcia útoku „Continuation Flood“, ktorý sa vykonáva odoslaním súvislého toku rámcov CONTINUATION na server HTTP/2 bez nastavenia príznaku END_HEADERS. Uvádza sa, že tento útok nevedie k odmietnutiu služby lighttpd, ale ako dodatočné opatrenie sa pridáva na jeho detekciu a odoslanie odpovede GO_AWAY.
- Incident týkajúci sa zavedenia zadných vrátok do balíka xz bol zohľadnený. Pri vytváraní vydaní na zostavovanie závislostí sa teraz kód získava z Gitu pomocou príkazu „git archive“ s overením pomocou značiek vydania a bez sťahovania hotových archívov s kódom.
- Štandardne je poskytnutý vstavaný súbor mimetype.assign.
- Pridaná podpora pre rozšírenie MPTCP (MultiPath TCP), ktoré nie je štandardne povolené.
- Vylepšená podpora pre platformy GNU/Hurd a NetBSD 10.
- Počet systémových volaní uskutočnených pri pripojení k backendu bol znížený.
- V budúcich vydaniach sa plánuje nastaviť TLSv1.3 ako predvolenú minimálnu podporovanú verziu protokolu TLS (momentálne je parameter MinProtocol nastavený na TLSv1.2). V budúcnosti bude obslužný program server.error-handler-404 obmedzený len na spracovanie chýb 404 (v súčasnosti spracováva aj chyby 404 aj 403).
Môžete si tiež všimnúť vydanie servera Apache HTTP 2.4.59, ktoré zaviedlo 21 zmien a opravilo tri chyby zabezpečenia:
- CVE-2024-27316 je zraniteľnosť, ktorá vedie k vyčerpaniu voľnej pamäte počas útoku typu „Continuation Flood“.
- CVE-2024-24795, CVE-2023-38709 - možnosť vykonania útoku na rozdelenie odpovede HTTP na front-end-backend systémoch, čo umožňuje nahradenie ďalších hlavičiek odpovedí alebo rozdelenie odpovedí s cieľom zakliniť obsah odpovedí ostatným používateľom spracovaným v rovnakom vlákne medzi frontendom a backendom.
- Parameter CGIScriptTimeout bol pridaný do modulu mod_cgi na nastavenie časového limitu vykonania skriptu.
- mod_xml2enc poskytuje kompatibilitu s libxml2 2.12.0 a novšími vydaniami.
- V mod_ssl sa štandardné funkcie OpenSSL používajú na zostavenie zoznamov názvov certifikačných autorít pri spracovaní direktív SSLCACertificatePath a SSLCADNRequestPath.
- mod_xml2enc poskytuje spracovanie XML pre všetky typy text/* a XML MIME, aby sa zabránilo poškodeniu údajov vo formátoch Microsoft OOXML.
- V obslužnom programe htcacheclean je možné pri zadávaní volieb -a/-A vymenovať všetky súbory pre každý podadresár.
- V mod_ssl umožňujú direktívy SSLProxyMachineCertificateFile/Path odkaz na súbory obsahujúce certifikáty certifikačných autorít.
- Dokumentácia k obslužným programom htpasswd, htdbm a dbmmanage objasňuje, že používajú hašovanie, nie šifrovanie hesiel.
- htpasswd pridal podporu pre spracovanie hash hesiel pomocou algoritmu SHA-2.
- Mod_env umožňuje prepísať systémové premenné prostredia.
- mod_ldap implementuje kódovanie HTML v hlavičke ldap-status.
- mod_ssl zlepšuje kompatibilitu s OpenSSL 3 a zaisťuje vrátenie uvoľnenej pamäte do systému.
- mod_proxy umožňuje nastavenie TTL na konfiguráciu životnosti záznamu vo vyrovnávacej pamäti odpovedí DNS.
- V mod_proxy bola do parametra ProxyRemote pridaná podpora pre tretí argument, prostredníctvom ktorého môžete nakonfigurovať poverenia pre základnú autentifikáciu prenášanú na externý proxy.
Zdroj: opennet.ru