輕量級http伺服器lighttpd 1.4.64已經發佈。新版本引入了 95 處更改,包括先前計劃的預設值更改以及過時功能的清理:
- 正常重新啟動/關閉操作的預設逾時已從無限縮短至 8 秒。可以使用“server.graceful-shutdown-timeout”選項來配置逾時。
- 已轉換為使用 PCRE2 庫 (--with-pcre2) 的程序集;要傳回舊版本的 PCRE,您可以使用「--with-pcre」選項。
- 先前棄用的模組已被刪除:
- mod_geoip(需使用mod_maxminddb),
- mod_authn_mysql(需使用mod_authn_dbi),
- mod_mysql_vhost(需要使用mod_vhostdb_dbi),
- mod_cml(需使用mod_magnet),
- mod_flv_streaming(Adobe Flash過期後失去意義),
- mod_trigger_b4_dl(您需要使用 Lua 的替代品)。
Lighttpd 1.4.64 也修正了 mod_extforward 模組中的一個漏洞 (CVE-2022-22707),該漏洞在處理轉送的 HTTP 標頭中的資料時會導致 4 位元組緩衝區溢位。據開發人員稱,該問題僅限於拒絕服務,並允許您遠端啟動後台進程的異常終止。僅當轉送標頭處理程序啟用且未出現在預設組態中時,才可能被利用。
來源: opennet.ru