การเปิดตัวเซิร์ฟเวอร์ http แบบไลท์เวท lighttpd 1.4.76 ได้รับการเผยแพร่แล้ว โดยมุ่งเน้นที่การผสมผสานระหว่างประสิทธิภาพสูง ความปลอดภัย การปฏิบัติตามมาตรฐาน และความยืดหยุ่นในการกำหนดค่า Lighttpd เหมาะสำหรับใช้กับระบบที่มีการโหลดสูง และมุ่งเป้าไปที่หน่วยความจำและการใช้ CPU ต่ำ รหัสโครงการเขียนด้วยภาษา C และเผยแพร่ภายใต้ใบอนุญาต BSD
ในเวอร์ชันใหม่:
- การตรวจจับการโจมตี "Continuation Flood" ดำเนินการโดยการส่งสตรีมต่อเนื่องของเฟรม CONTINUATION ไปยังเซิร์ฟเวอร์ HTTP/2 โดยไม่ต้องตั้งค่าสถานะ END_HEADERS มีการระบุว่าการโจมตีนี้ไม่ส่งผลให้มีการปฏิเสธการให้บริการกับ lighttpd แต่เป็นการเพิ่มมาตรการเพิ่มเติมเพื่อตรวจจับและส่งการตอบสนอง GO_AWAY
- เหตุการณ์ที่เกี่ยวข้องกับการนำแบ็คดอร์เข้าไปในแพ็คเกจ xz ได้ถูกนำมาพิจารณาด้วย เมื่อสร้างรีลีสสำหรับการประกอบการพึ่งพา ตอนนี้โค้ดจะถูกดึงมาจาก Git โดยใช้คำสั่ง “git archive” พร้อมการตรวจสอบโดยใช้แท็กรีลีส และไม่ต้องดาวน์โหลดอาร์ไคฟ์สำเร็จรูปพร้อมโค้ด
- โดยค่าเริ่มต้น จะมีไฟล์ mimetype.assign ในตัวมาให้
- เพิ่มการรองรับส่วนขยาย MPTCP (MultiPath TCP) ซึ่งไม่ได้เปิดใช้งานตามค่าเริ่มต้น
- ปรับปรุงการรองรับแพลตฟอร์ม GNU/Hurd และ NetBSD 10
- จำนวนการเรียกของระบบเมื่อเชื่อมต่อกับแบ็คเอนด์ลดลง
- ในการเปิดตัวในอนาคต มีการวางแผนที่จะตั้งค่า TLSv1.3 เป็นเวอร์ชันขั้นต่ำที่รองรับเริ่มต้นของโปรโตคอล TLS (ปัจจุบันพารามิเตอร์ MinProtocol ถูกตั้งค่าเป็น TLSv1.2) ในอนาคต ตัวจัดการ server.error-handler-404 จะถูกจำกัดให้จัดการเฉพาะข้อผิดพลาด 404 เท่านั้น (ปัจจุบันรองรับทั้ง 404 และ 403)
คุณยังสามารถสังเกตการเปิดตัวเซิร์ฟเวอร์ Apache HTTP 2.4.59 ซึ่งนำเสนอการเปลี่ยนแปลง 21 รายการและแก้ไขช่องโหว่สามรายการ:
- CVE-2024-27316 เป็นช่องโหว่ที่ทำให้หน่วยความจำว่างหมดในระหว่างการโจมตี “Continuation Flood”
- CVE-2024-24795, CVE-2023-38709 - ความเป็นไปได้ในการดำเนินการตอบสนอง HTTP โดยแยกการโจมตีบนระบบส่วนหน้า-แบ็กเอนด์ ทำให้สามารถทดแทนส่วนหัวการตอบกลับเพิ่มเติมหรือการแยกการตอบกลับเพื่อลิ่มเนื้อหาของการตอบกลับ ให้กับผู้ใช้รายอื่นที่ประมวลผลในชุดข้อความเดียวกันระหว่างส่วนหน้าและส่วนหลัง
- เพิ่มพารามิเตอร์ CGIScriptTimeout ให้กับโมดูล mod_cgi เพื่อตั้งค่าการหมดเวลาการเรียกใช้สคริปต์
- mod_xml2enc ให้ความเข้ากันได้กับ libxml2 2.12.0 และรีลีสที่ใหม่กว่า
- ใน mod_ssl ฟังก์ชัน OpenSSL มาตรฐานใช้เพื่อรวบรวมรายชื่อหน่วยงานออกใบรับรองเมื่อประมวลผลคำสั่ง SSLCACertificatePath และ SSLCADNRequestPath
- mod_xml2enc มีการประมวลผล XML สำหรับข้อความ/* และ XML MIME ทุกประเภท เพื่อป้องกันข้อมูลเสียหายในรูปแบบ Microsoft OOXML
- ในยูทิลิตี้ htcacheclean เมื่อระบุตัวเลือก -a/-A คุณสามารถระบุไฟล์ทั้งหมดสำหรับแต่ละไดเร็กทอรีย่อยได้
- ใน mod_ssl คำสั่ง SSLProxyMachineCertificateFile/Path อนุญาตให้อ้างอิงไปยังไฟล์ที่มีใบรับรองผู้ออกใบรับรอง
- เอกสารประกอบสำหรับยูทิลิตี้ htpasswd, htdbm และ dbmmanage ให้ความกระจ่างว่าพวกเขาใช้การแฮช ไม่ใช่การเข้ารหัสรหัสผ่าน
- htpasswd ได้เพิ่มการรองรับสำหรับการประมวลผลแฮชรหัสผ่านโดยใช้อัลกอริทึม SHA-2
- mod_env อนุญาตให้แทนที่ตัวแปรสภาพแวดล้อมของระบบ
- mod_ldap ใช้การหลบหนี HTML ในส่วนหัวสถานะ ldap
- mod_ssl ปรับปรุงความเข้ากันได้กับ OpenSSL 3 และรับประกันว่าหน่วยความจำที่ว่างจะถูกส่งกลับไปยังระบบ
- mod_proxy อนุญาตให้ตั้งค่า TTL เพื่อกำหนดค่าอายุการใช้งานของรายการในแคชการตอบสนอง DNS
- ใน mod_proxy มีการเพิ่มการรองรับอาร์กิวเมนต์ที่สามลงในพารามิเตอร์ ProxyRemote ซึ่งคุณสามารถกำหนดค่าข้อมูลประจำตัวสำหรับการตรวจสอบสิทธิ์พื้นฐานที่ส่งไปยังพร็อกซีภายนอกได้
ที่มา: opennet.ru