Máy chủ http nhẹ lighttpd 1.4.64 đã được phát hành. Phiên bản mới giới thiệu 95 thay đổi, bao gồm các thay đổi đã được lên kế hoạch trước đó đối với các giá trị mặc định và dọn dẹp các chức năng lỗi thời:
- Thời gian chờ mặc định cho các thao tác khởi động lại/tắt máy nhẹ nhàng đã giảm từ vô cực xuống còn 8 giây. Thời gian chờ có thể được định cấu hình bằng tùy chọn "server.graceful-shutdown-timeout".
- Quá trình chuyển đổi sang sử dụng tập hợp với thư viện PCRE2 (--with-pcre2) đã được thực hiện; để quay lại phiên bản PCRE cũ, bạn có thể sử dụng tùy chọn "--with-pcre".
- Các mô-đun trước đây không được dùng nữa đã bị xóa:
- mod_geoip (bạn cần sử dụng mod_maxminddb),
- mod_authn_mysql (bạn cần sử dụng mod_authn_dbi),
- mod_mysql_vhost (bạn cần sử dụng mod_vhostdb_dbi),
- mod_cml (bạn cần sử dụng mod_magnet),
- mod_flv_streaming (mất ý nghĩa sau khi Adobe Flash hết hạn),
- mod_trigger_b4_dl (bạn cần sử dụng thay thế cho Lua).
Lighttpd 1.4.64 cũng khắc phục lỗ hổng (CVE-2022-22707) trong mô-đun mod_extforward gây ra lỗi tràn bộ đệm 4 byte khi xử lý dữ liệu trong tiêu đề HTTP được chuyển tiếp. Theo các nhà phát triển, vấn đề chỉ giới hạn ở việc từ chối dịch vụ và cho phép bạn bắt đầu từ xa việc chấm dứt bất thường của quy trình nền. Việc khai thác chỉ có thể thực hiện được khi trình xử lý tiêu đề Chuyển tiếp được bật và không xuất hiện trong cấu hình mặc định.
Nguồn: opennet.ru