Выпуск http-сервера Lighttpd 1.4.64

Состоялся релиз легковесного http-сервера lighttpd 1.4.64. В новой версии представлено 95 изменений, в том числе применены ранее запланированные изменения значений по умолчанию и проведена чистка от устаревшей функциональности:

  • Таймаут по умолчанию для операций graceful restart/shutdown уменьшен с бесконечности до 8 секунд. Таймаут можно настроить при помощи опции “server.graceful-shutdown-timeout”.
  • Осуществлён переход на использование сборки с библиотекой PCRE2 (–with-pcre2), для возвращения на старый вариант PCRE можно использовать опцию “–with-pcre”.
  • Удалены модули, ранее объявленные устаревшими:
    • mod_geoip (нужно использовать mod_maxminddb),
    • mod_authn_mysql (нужно использовать mod_authn_dbi),
    • mod_mysql_vhost (нужно использовать mod_vhostdb_dbi),
    • mod_cml (нужно использовать mod_magnet),
    • mod_flv_streaming (потерял смысл после завершения времени жизни Adobe Flash),
    • mod_trigger_b4_dl (нужно использовать замену на Lua).

В Lighttpd 1.4.64 также устранена уязвимость (CVE-2022-22707) в модуле mod_extforward, приводящая к переполнению буфера на 4 байта при обработке данных в HTTP-заголовке Forwarded. По мнению разработчиков проблема ограничивается отказом в обслуживании и позволяет удалённо инициировать аварийное завершения фонового процесса. Эксплуатация возможна только при включении обработчика заголовка Forwarded и не проявляется в конфигурации по умолчанию.


Release. Ссылка here.