Den lätta http-servern lighttpd 1.4.64 har släppts. Den nya versionen innehåller 95 ändringar, inklusive tidigare planerade standardvärdesändringar och en rensning av föråldrad funktionalitet:
- Standardtidsgränsen för smidiga omstarter/avstängningar har minskats från oändligheten till 8 sekunder. Tidsgränsen kan konfigureras med alternativet "server.graceful-shutdown-timeout".
- Övergången till att använda assemblern med PCRE2-biblioteket (--with-pcre2) har gjorts; för att återgå till den gamla versionen av PCRE kan du använda alternativet "--with-pcre".
- Tidigare föråldrade moduler har tagits bort:
- mod_geoip (måste använda mod_maxminddb),
- mod_authn_mysql (måste använda mod_authn_dbi),
- mod_mysql_vhost (måste använda mod_vhostdb_dbi),
- mod_cml (måste använda mod_magnet),
- mod_flv_streaming (förlorade sin betydelse efter att Adobe Flash upphörde att gälla),
- mod_trigger_b4_dl (måste använda Lua-ersättning).
Lighttpd 1.4.64 åtgärdar också en sårbarhet (CVE-2022-22707) i mod_extforward-modulen som orsakar ett 4-byte buffertöverflöde vid bearbetning av data i Forwarded HTTP-headern. Enligt utvecklarna är problemet begränsat till överbelastning och tillåter fjärrinitiering av en onormal avslutning av en bakgrundsprocess. Utnyttjande är endast möjligt när Forwarded-headerhanteraren är aktiverad och sker inte i standardkonfigurationen.
Källa: opennet.ru
