Objavljena je bila izdaja lahkega http strežnika lighttpd 1.4.76, ki se osredotoča na kombinacijo visoke zmogljivosti, varnosti, skladnosti s standardi in prilagodljivosti konfiguracije. Lighttpd je primeren za uporabo v zelo obremenjenih sistemih in je namenjen nizki porabi pomnilnika in procesorja. Projektna koda je napisana v C in se distribuira pod licenco BSD.
V novi različici:
- Zagotovljeno je odkrivanje napada »Continuation flood«, ki se izvaja s pošiljanjem neprekinjenega toka okvirjev CONTINUATION na strežnik HTTP/2 brez nastavitve zastavice END_HEADERS. Navedeno je, da ta napad ne povzroči zavrnitve storitve za lighttpd, vendar je kot dodaten ukrep dodan za odkrivanje in pošiljanje odgovora GO_AWAY.
- Incident z vnosom stranskih vrat v paket xz je bil upoštevan. Ko ustvarjate izdaje za sestavljanje odvisnosti, se koda zdaj pridobi iz Gita z ukazom »git archive« s preverjanjem z uporabo oznak izdaje in brez prenosa že pripravljenih arhivov s kodo.
- Privzeto je na voljo vgrajena datoteka mimetype.assign.
- Dodana podpora za razširitev MPTCP (MultiPath TCP), ki privzeto ni omogočena.
- Izboljšana podpora za platformi GNU/Hurd in NetBSD 10.
- Število sistemskih klicev pri povezovanju z zaledjem je bilo zmanjšano.
- V prihodnjih izdajah je načrtovana nastavitev TLSv1.3 kot privzete najmanjše podprte različice protokola TLS (trenutno je parameter MinProtocol nastavljen na TLSv1.2). V prihodnosti bo obravnavalnik server.error-handler-404 omejen samo na obravnavanje napak 404 (trenutno obravnava tako 404 kot 403).
Opazite lahko tudi izdajo strežnika Apache HTTP 2.4.59, ki je uvedel 21 sprememb in odpravil tri ranljivosti:
- CVE-2024-27316 je ranljivost, ki vodi do izčrpanja prostega pomnilnika med napadom »Continuation flood«.
- CVE-2024-24795, CVE-2023-38709 - možnost izvajanja napada z delitvijo odziva HTTP na sisteme front-end-back-end, kar omogoča zamenjavo dodatnih glav odgovorov ali delitev odgovorov, da se zagozdi vsebina odgovorov drugim uporabnikom, obdelanih v isti niti med sprednjim in zadnjim delom.
- Parameter CGIScriptTimeout je bil dodan v modul mod_cgi za nastavitev časovne omejitve izvajanja skripta.
- mod_xml2enc zagotavlja združljivost z libxml2 2.12.0 in novejšimi izdajami.
- V mod_ssl se standardne funkcije OpenSSL uporabljajo za sestavljanje seznamov imen overiteljev pri obdelavi direktiv SSLCACertificatePath in SSLCADNRequestPath.
- mod_xml2enc zagotavlja obdelavo XML za katero koli besedilo/* in XML vrste MIME, da se prepreči poškodba podatkov v formatih Microsoft OOXML.
- V pripomočku htcacheclean je pri podajanju možnosti -a/-A možno oštevilčiti vse datoteke za vsak podimenik.
- V mod_ssl direktive SSLProxyMachineCertificateFile/Path omogočajo sklicevanje na datoteke, ki vsebujejo potrdila overitelja potrdil.
- Dokumentacija za pripomočke htpasswd, htdbm in dbmmanage pojasnjuje, da uporabljajo zgoščevanje in ne šifriranja gesel.
- htpasswd je dodal podporo za obdelavo zgoščenih vrednosti gesel z uporabo algoritma SHA-2.
- Mod_env omogoča preglasitev spremenljivk sistemskega okolja.
- mod_ldap implementira ubežanje HTML v glavi statusa ldap.
- mod_ssl izboljšuje združljivost z OpenSSL 3 in zagotavlja, da se sproščeni pomnilnik vrne sistemu.
- mod_proxy omogoča nastavitev TTL za konfiguracijo življenjske dobe vnosa v predpomnilniku odgovorov DNS.
- V mod_proxy je bila parametru ProxyRemote dodana podpora za tretji argument, prek katerega lahko konfigurirate poverilnice za osnovno preverjanje pristnosti, ki se prenašajo na zunanji proxy.
Vir: opennet.ru