Вышел релиз http-сервера lighttpd 1.4.20

30.09.2008 09:42

Спустя 6 месяцев после выхода версии 1.4.19, анонсирован новый релиз - lighttpd 1.4.20. В новом релизе устранено около 60 ошибок, в том числе исправлено 4 уязвимости. Отдельно можно отметить обновление кода spawn-fcgi и изменение метода использования экранированных в URL символов в правилах модулей mod_rewrite и mod_redirect (отныне перед проверкой данные декодируются).

Исправленные уязвимости:

Из-за утечки памяти в функции "http_request_parse()", злоумышленник может, наводнив сервер определенными запросами, исчерпать всю доступную в системе память, если объем выделяемой lighttpd памяти не лимитирован;
Уязвимость, позволяющая злоумышленнику удаленно оборвать активные SSL соединения;
Отсутствие в mod_userdir принудительного перевода символов запроса в нижний регистр, на системах не чувствительных к регистру имен файлов, может привести к утечке информации. Например, злоумышленник может вместо выполнения скрипта test.php, открыть файл test.PHP как текстовый документ;
Возможность обхода правил редиректа в mod_rewrite и mod_redirect, через экранирование параметров запроса (url-encoded);

исправить +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/18163-lighttpd

Ключевые слова: lighttpd, http

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (8)

1.1, V (??), 10:38, 30/09/2008 [ответить]	+/–
finally \o/

1.2, User294 (ok), 15:46, 30/09/2008 [ответить]	+/–
О, наконец то! P.S. что-то дыры не особо страшные какие-то.

1.3, Аноним (3), 19:13, 30/09/2008 [ответить]

+/–

А ты рад или опечален? Не понятно :)

Хорошо что пофиксили. Я много где юзаю как фронт для всяких индейцев, джанг и пр. тяжести.

... хм - прикинул что уже чаще юзаю нжЫнкса :)
Но всё равно - лайти - хороший сервак!

2.4, User294 (??), 19:48, 30/09/2008 [^] [^^] [^^^] [ответить]

+/–

>А ты рад или опечален? Не понятно :)

Лично я - рад, хорошо когда хорошие проекты развиваются.

>Хорошо что пофиксили. Я много где юзаю как фронт для всяких индейцев,
>джанг и пр. тяжести.

У меня в некоторых местах лайт без всяких индейцев через fastcgi или scgi работает (некритичные к нагрузке штуки могут и через CGI, но CGI - старый, тормозной и дурацкий на фоне fastcgi, строго говоря).Вроде нормально вполне.Ресурсов дофига не жрет, etc.

>... хм - прикинул что уже чаще юзаю нжЫнкса :)

Формат конфига у него зубодробильный малость, но в целом - тоже неплохой сервак с кучей интересных фич.Из минусов по сравнению с лайти я пока углядел менее богатый набор понимаемых CGI-протоколов, сразу видно заточеность на несамостоятельное существование (хотя fastcgi оно умеет, но лайти то умеет больше :P).

>Но всё равно - лайти - хороший сервак!

+1.Особенно весело читать на сайте апача гайд по оптимизации производительности.Мля, так и хочется добавить к этому гайду: "а если юзать лайт или нжинкс то греть мозг этим вопросом равно как и потреблением ресурсов просто не придется" ;)

3.5, open (?), 22:11, 30/09/2008 [^] [^^] [^^^] [ответить]	+/–
вчера только читал письмо от рук. отдела нагр тестирования, что apache2+mod_php показал производительностьб для одного сервиса на 25% большую чем nginx+spawn_fast-cgi так что красноглазая песня про nginx это спорно... >хочется добавить к этому гайду: "а если юзать лайт или нжинкс >то греть мозг этим вопросом равно как и потреблением ресурсов просто >не придется" ;)

4.7, GliNT (??), 03:03, 01/10/2008 [^] [^^] [^^^] [ответить]	+/–
"Вы просто не умеете их готовить.."

4.8, User294 (ok), 17:46, 20/10/2008 [^] [^^] [^^^] [ответить]	+/–
А случаи бывают разные с анекдот Вы тут ни звука не издали про то что тестиров... большой текст свёрнут, показать

1.6, Alexander Yakimenko (?), 22:58, 30/09/2008 [ответить]	+/–
apache2 по своему подобию не сможет отработать более nginx. Так что расскажите об этом Сысоеву и Ко.

Добавить комментарий

Текст: