Релиз http-сервера lighttpd 1.4.32 с устранением уязвимости

Вышел релиз легковесного http-сервера lighttpd 1.4.32. Релиз носит корректирующий характер и содержит 13 исправлений, среди которых устранение уязвимости, которая может привести к инициированию отказа в обслуживании удалённым злоумышленником. Уязвимость вызвана ошибкой в коде парсинга HTTP-заголовков и приводит к зависанию процесса из-за бесконечного зацикливания при обработке запроса с определённым образом оформленным заголовком "Connection".

Из не связанных с безопасностью изменений можно отметить:

  • Обеспечение поддержки метода PATCH;
  • Проведение чистки кода с устранением проблем, выявленных в процессе использования clang/sparse;
  • Устранение утечки памяти в коде инициализации сервера;
  • Улучшение определения кодирования контента в форматах x-gzip и x-bzip2;
  • В mod_extforward обеспечена запись в лог с признаком debug.log-request-handling адресов недоверительных прокси.

© OpenNet