Ho lokolloa ha bobebe http server lighttpd 1.4.76 e hatisitsoe, e lebisitsoe ho motsoako oa ts'ebetso e phahameng, ts'ireletso, ho lumellana le litekanyetso le ho feto-fetoha ha maemo. Lighttpd e loketse ho sebelisoa lits'ebetsong tse laetsoeng haholo mme e etselitsoe mohopolo o tlase le ts'ebeliso ea CPU. Khoutu ea projeke e ngotsoe ka C mme e ajoa tlasa laesense ea BSD.
Khatisong e ncha:
- Ho fumanwa ha tlhaselo ya "kgohola e tswelang pele" ka ho romela CONTINUATION liforeimi tse ngata ho sebara ea HTTP/2 ntle le ho seta END_HEADERS folakha e fanoe. Ho boleloa hore tlhaselo ena ha e felle ka ho hana tšebeletso ho lighttpd, empa e le tekanyo e eketsehileng e eketsoa ho e lemoha le ho romela karabo ea GO_AWAY.
- Ketsahalo e amanang le ho kenngoa ha backdoor ka har'a sephutheloana sa xz e hlokometsoe. Ha ho etsoa litokollo bakeng sa ho bokella litšepe, khoutu e se e nkiloe ho Git ho sebelisoa taelo ea "git archive" ka netefatso e sebelisa li-tag tsa tokollo ntle le ho khoasolla li-archives tse seng li entsoe ka khoutu.
- Ka kamehla, ho fanoa ka faele ea mimetype.assign e hahelletsoeng ka hare.
- Tšehetso e ekelitsoeng bakeng sa katoloso ea MPTCP (MultiPath TCP), e sa lumelloeng ke kamehla.
- Ts'ehetso e ntlafalitsoeng bakeng sa sethala sa GNU/Hurd le NetBSD 10.
- Palo ea mehala ea sistimi e etsoang ha o hokela ho backend e fokotsehile.
- Litokollong tsa nako e tlang, ho reriloe ho beha TLSv1.3 joalo ka mofuta oa bonyane o tšehetsoeng oa protocol ea TLS (hajoale paramethara ea MinProtocol e behiloe ho TLSv1.2). Nakong e tlang, server.error-handler-404 handler e tla lekanyetsoa ho sebetsana le liphoso tse 404 feela (hona joale e sebetsana le 404 le 403).
U ka boela ua hlokomela ho lokolloa ha seva sa Apache HTTP 2.4.59, se hlahisitseng liphetoho tse 21 le ho lokisa likotsi tse tharo tse tsitsitseng:
- CVE-2024-27316 ke ts'oaetso e lebisang mokhathala oa mohopolo o sa lefelloeng nakong ea tlhaselo ea "Continuation moroallo".
- CVE-2024-24795, CVE-2023-38709 - monyetla oa ho etsa tlhaselo ea karohano ea karabelo ea HTTP lits'ebetsong tse ka pele-morao, tse lumellang ho nkeloa sebaka ha lihlooho tse ling tsa karabo kapa karohano ea likarabo molemong oa ho kopanya litaba tsa likarabo. ho basebelisi ba bang ba sebetsitsoeng ka khoele e tšoanang pakeng tsa frontend le backend.
- CGIScriptTimeout parameter e kenyelelitsoe mojuleng oa mod_cgi ho beha nako ea ho qetela ea script.
- mod_xml2enc e fana ka tšebelisano le libxml2 2.12.0 le ho lokolloa hamorao.
- Ho mod_ssl, mesebetsi e tloaelehileng ea OpenSSL e sebelisoa ho bokella manane a mabitso a balaoli ba setifikeiti ha ho sebetsoa litaelo tsa SSLCACertificatePath le SSLCADNRequestPath.
- mod_xml2enc e fana ka ts'ebetso ea XML bakeng sa mongolo ofe kapa ofe/* le mefuta ea XML MIME ho thibela bobolu ba data ho lifomate tsa Microsoft OOXML.
- Ts'ebelisong ea htcacheclean, ha o hlakisa likhetho tsa -a/-A, hoa khoneha ho bala lifaele tsohle bakeng sa bukana ka 'ngoe.
- Ho mod_ssl, litaelo tsa SSLProxyMachineCertificateFile/Path li lumella ho buuoa ka lifaele tse nang le litifikeiti tsa bolaoli ba setifikeiti.
- Litokomane tsa lits'ebeletso tsa htpasswd, htdbm le dbmmanage li hlakisa hore li sebelisa hashing, eseng encryption ea password.
- htpasswd e kentse tšehetso bakeng sa ho sebetsana le li-hashes tsa password ho sebelisa algorithm ea SHA-2.
- Mod_env e lumella ho feto-fetoha ha maemo a tikoloho ea sistimi.
- mod_ldap e sebelisa HTML e balehang hloohong ea boemo ba ldap.
- mod_ssl e ntlafatsa tšebelisano le OpenSSL 3 mme e netefatsa hore memori e lokolotsoeng e khutlisetsoa sistimi.
- mod_proxy e lumella ho beha TTL ho hlophisa nako ea bophelo ea ho kena ka har'a cache ea karabo ea DNS.
- Ka mod_proxy, ts'ehetso ea khang ea boraro e kenyelelitsoe ho parameter ea ProxyRemote, eo ka eona u ka lokisang lintlha tsa bopaki ba motheo bo fetiselitsoeng ho moemeli oa kantle.
Source: opennet.ru