Релиз http-сервера lighttpd 1.4.32 с устранением уязвимости
Вышел релиз легковесного http-сервера lighttpd 1.4.32. Релиз носит корректирующий характер и содержит 13 исправлений, среди которых устранение уязвимости, которая может привести к инициированию отказа в обслуживании удалённым злоумышленником. Уязвимость вызвана ошибкой в коде парсинга HTTP-заголовков и приводит к зависанию процесса из-за бесконечного зацикливания при обработке запроса с определённым образом оформленным заголовком "Connection".Из не связанных с безопасностью изменений можно отметить:
- Обеспечение поддержки метода PATCH;
- Проведение чистки кода с устранением проблем, выявленных в процессе использования clang/sparse;
- Устранение утечки памяти в коде инициализации сервера;
- Улучшение определения кодирования контента в форматах x-gzip и x-bzip2;
- В mod_extforward обеспечена запись в лог с признаком debug.log-request-handling адресов недоверительных прокси.
© OpenNet