Опубліковано реліз легковажного http-сервера lighttpd 1.4.76, орієнтованого на поєднання високої продуктивності, безпеки, відповідності стандартам та гнучкості налаштування. Lighttpd придатний для застосування на високонавантажених системах та націлений на низьке споживання пам'яті та ресурсів CPU. Код проекту написаний мовою Сі та поширюється під ліцензією BSD.
В новой версії:
- Забезпечено виявлення атаки «Continuation flood», що здійснюється через відправку на сервер HTTP/2 безперервного потоку кадрів CONTINUATION без виставлення прапора END_HEADERS. Стверджується, що ця атака не призводить до відмови в обслуговуванні lighttpd, але в якості додаткового заходу додано її виявлення та надсилання відповіді GO_AWAY.
- Враховано інцидент із впровадженням бекдору в пакет xz. Під час створення релізів для складання залежностей тепер використовується отримання коду з Git командою «git archive» з верифікацією за тегами релізу та без завантаження готових архівів із кодом.
- За промовчанням надано вбудований файл mimetype.assign.
- Додана підтримка розширення MPTCP (MultiPath TCP), яка не активована за умовчанням.
- Поліпшено підтримку платформ GNU/Hurd і NetBSD 10.
- Скорочено кількість системних викликів, які здійснюються при підключеннях до бекенду.
- У наступних випусках планується виставити TLSv1.3 як версію протоколу TLS, що мінімально підтримується за замовчуванням (зараз параметр MinProtocol виставлений у значення TLSv1.2). У майбутньому обробник server.error-handler-404 буде обмежений лише обробкою помилок 404 (зараз обробляється як 404, і 403).
Також можна відзначити реліз HTTP-сервера Apache 2.4.59, в якому представлено 21 зміну та усунуто три вразливості:
- CVE-2024-27316 — вразливість, яка веде до вичерпання вільної пам'яті під час атаки «Continuation flood».
- CVE-2024-24795, CVE-2023-38709 — можливість здійснення атаки по розділенню відповідей HTTP на системах фронтенд-бекенд, що дозволяє домогтися підстановки додаткових заголовків відповіді або розщеплення відповідей для того, щоб вклинитися в вміст відповідей іншим користувачам, що обробляються між фронтендом та бекендом.
- До модуля mod_cgi додано параметр CGIScriptTimeout для виставлення таймууту виконання скрипту.
- У mod_xml2enc забезпечена сумісність із libxml2 2.12.0 та новішими випусками.
- У mod_ssl для компонування списків імен центрів, що засвідчують, при обробці директив SSLCACertificatePath і SSLCADNRequestPath діють штатні функції OpenSSL.
- У mod_xml2enc забезпечено обробку XML для будь-яких MIME-типів text/* та XML для виключення пошкодження даних у форматах Microsoft OOXML.
- В утиліті htcacheclean при вказівці опцій -a/-A реалізовано перебір всіх файлів для кожного підкаталогу.
- У mod_ssl у директивах SSLProxyMachineCertificateFile/Path можна посилатися на файли, що містить сертифікати центрів, що засвідчують.
- У документації до утиліт htpasswd, htdbm і dbmmanage уточнено, що в них використовується хешування, а не шифрування паролів.
- У htpasswd додано підтримку обробки хешів паролів, використовуючи алгоритм SHA-2.
- У mod_env дозволено перевизначення системних змінних оточення.
- У mod_ldap реалізовано екранування HTML-даних у заголовку ldap-status.
- У mod_ssl покращено сумісність із OpenSSL 3 та забезпечено повернення системі звільненої пам'яті.
- У mod_proxy дозволено виставляти TTL для налаштування часу життя запису в кеші DNS-відповідей.
- У mod_proxy до параметра ProxyRemote додано підтримку третього аргументу, через який можна налаштувати облікові дані, що передаються на зовнішній проксі, для Basic-аутентифікації.
Джерело: opennet.ru