Izdan je lahki http strežnik lighttpd 1.4.64. Nova različica uvaja 95 sprememb, vključno s predhodno načrtovanimi spremembami privzetih vrednosti in čiščenjem zastarele funkcionalnosti:
- Privzeta časovna omejitev za elegantne operacije ponovnega zagona/izklopa je bila zmanjšana z neskončnosti na 8 sekund. Časovno omejitev je mogoče konfigurirati z možnostjo "server.graceful-shutdown-timeout".
- Izveden je bil prehod na uporabo sklopa s knjižnico PCRE2 (--with-pcre2); za vrnitev na staro različico PCRE lahko uporabite možnost "--with-pcre".
- Moduli, ki so bili prej opuščeni, so bili odstranjeni:
- mod_geoip (uporabiti morate mod_maxminddb),
- mod_authn_mysql (uporabiti morate mod_authn_dbi),
- mod_mysql_vhost (uporabiti morate mod_vhostdb_dbi),
- mod_cml (uporabiti morate mod_magnet),
- mod_flv_streaming (izgubil pomen, ko je potekel Adobe Flash),
- mod_trigger_b4_dl (uporabiti morate zamenjavo za Lua).
Lighttpd 1.4.64 prav tako odpravlja ranljivost (CVE-2022-22707) v modulu mod_extforward, ki povzroča prekoračitev 4-bajtnega medpomnilnika pri obdelavi podatkov v posredovani glavi HTTP. Po mnenju razvijalcev je težava omejena na zavrnitev storitve in vam omogoča, da na daljavo sprožite nenormalno prekinitev procesa v ozadju. Izkoriščanje je možno samo, če je omogočen upravljalnik posredovane glave in ni prikazan v privzeti konfiguraciji.
Vir: opennet.ru