輕量級http伺服器lighttpd 1.4.76版本已經發布,專注於高效能、安全性、符合標準和配置靈活性的結合。 Lighttpd 適合在高負載系統上使用,旨在降低記憶體和 CPU 消耗。該專案代碼是用 C 語言編寫的,並在 BSD 許可證下分發。
在新版本中:
- 透過向 HTTP/2 伺服器發送連續的 CONTINUATION 幀流而不設定 END_HEADERS 標誌來偵測「Continuation Flood」攻擊。據稱,此攻擊不會導致 lighttpd 拒絕服務,但作為附加措施,添加了它來檢測它並發送 GO_AWAY 回應。
- 涉及在 xz 包中引入後門的事件已被考慮在內。當建立用於組裝依賴項的版本時,現在可以使用「git archive」命令從 Git 檢索程式碼,並使用版本標籤進行驗證,而無需下載帶有程式碼的現成檔案。
- 預設情況下,提供內建的 mimetype.assign 檔案。
- 新增了對 MPTCP(多路徑 TCP)擴展的支持,預設未啟用該擴展。
- 改進了對 GNU/Hurd 和 NetBSD 10 平台的支援。
- 連接到後端時進行的系統呼叫次數已減少。
- 在未來的版本中,計劃將 TLSv1.3 設定為 TLS 協定的預設最低支援版本(目前 MinProtocol 參數設定為 TLSv1.2)。將來,server.error-handler-404 處理程序將僅限於僅處理 404 錯誤(目前它同時處理 404 和 403)。
您還可以注意到 Apache HTTP 伺服器 2.4.59 的發布,它引入了 21 項變更並修復了 XNUMX 個漏洞:
- CVE-2024-27316 是一個漏洞,會導致「連續洪水」攻擊期間可用記憶體耗盡。
- CVE-2024-24795、CVE-2023-38709 - 對前端後端系統執行 HTTP 回應拆分攻擊的可能性,允許取代額外的回應標頭或分割回應以楔入回應內容前端和後端之間同一線程中處理的其他使用者。
- mod_cgi模組中新增了CGIScriptTimeout參數來設定腳本執行逾時。
- mod_xml2enc 提供與 libxml2 2.12.0 及更高版本的兼容性。
- 在 mod_ssl 中,標準 OpenSSL 函數用於在處理 SSLCACertificatePath 和 SSLCADNRequestPath 指令時組裝憑證授權單位名稱清單。
- mod_xml2enc 為任何 text/* 和 XML MIME 類型提供 XML 處理,以防止 Microsoft OOXML 格式中的資料損壞。
- 在 htcacheclean 公用程式中,指定 -a/-A 選項時,可以列舉每個子目錄的所有檔案。
- 在 mod_ssl 中,SSLProxyMachineCertificateFile/Path 指令允許引用包含憑證授權單位憑證的檔案。
- htpasswd、htdbm 和 dbmmanage 實用程式的文件闡明它們使用雜湊,而不是密碼加密。
- htpasswd 新增了使用 SHA-2 演算法處理密碼雜湊的支援。
- Mod_env 允許覆蓋系統環境變數。
- mod_ldap 在 ldap-status 標頭中實作 HTML 轉義。
- mod_ssl 提高了與 OpenSSL 3 的兼容性,並確保釋放的記憶體返回系統。
- mod_proxy 允許設定 TTL 來配置 DNS 回應快取中條目的生命週期。
- 在 mod_proxy 中,ProxyRemote 參數添加了對第三個參數的支持,透過該參數您可以配置傳輸到外部代理的基本身份驗證的憑證。
來源: opennet.ru