Релиз http-сервера lighttpd 1.4.30

19.12.2011 14:29

Увидел свет релиз легковесного http-сервера lighttpd 1.4.30. Релиз носит корректирующий характер и содержит 12 исправлений, из которых можно отметить:

В модуле http_auth устранена уязвимость, позволяющая инициировать крах http-сервера при передаче в процессе аутентификации некорректных символов в блоке, закодированном методом base64 (например, при использовании внутри блока base64 символов с кодом больше 0x7f);
Добавлена защита от атак BEAST (Browser Exploit Against SSL/TLS). Чтобы защита заработала в настройки нужно добавить строку 'ssl.cipher-list = "ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4-SHA:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM"';
Для SSL-соединений запрещено инициирование клиентом повторного согласования параметров соединения (renegotiation), что позволяет защититься от DoS-атак на сервер;
Устранена проблема с заглохшими висящими соединениями;
Добавлена опция static-file.disable-pathinfo для запрета использования в URL таких конструкций, как "../secret.php/image.jpg";
В mod_status устранена ошибка, из-за которой в поле прочитанных данных для загрузок всегда значилось "0/0";
Устранена ошибка, приводившая к обрыву SSL-соединений, если передаваемые файлы по размеру больше значения MAX_WRITE_LIMIT (256 Кб).

исправить +9 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/32597-lighttpd

Ключевые слова: lighttpd

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (9)

1.6, Аноним (-), 15:56, 19/12/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Поживем, увидим! Lighttpd тоже заслуживает свое место в серверном ПО так же как и Nginx. Кто знает, может Nginx не появился бы, если бы не работа Сысоева в Рамблере. Свои плюсы есть как в том, так и в другом продукте.

1.8, Аноним (-), 16:14, 19/12/2011 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Хороший сервер, и не пытается быть комнайном, как некоторые, и код у него очень аккуратный.

1.10, CHIM.86 (ok), 16:31, 19/12/2011 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Классный сервер! Очень прост и без всяких заморочек, конфиг очень простой и понятный. Каждому своё но если мне нужно просто и быстро поднять сайт то мой выбор останавливается на lighttpd.(ИМХО)

1.12, Аноним (-), 17:12, 19/12/2011 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Им ещё кто-то пользуется?

2.18, Аноним (-), 18:30, 19/12/2011 [^] [^^] [^^^] [ответить]	+1 +/–
я

2.19, fiskus (?), 19:17, 19/12/2011 [^] [^^] [^^^] [ответить]	+1 +/–
я

2.21, qstorm (ok), 20:22, 19/12/2011 [^] [^^] [^^^] [ответить]	+1 +/–
я, правда в LAN колледжа.

2.24, Аноним (-), 20:33, 19/12/2011 [^] [^^] [^^^] [ответить]	+/–
> Им ещё кто-то пользуется? Что значит - "еще". Им вон яндекс пользуется, например. Грузят бочками статику типа исох. А почему бы и нет?

3.25, б.б. (?), 06:46, 20/12/2011 [^] [^^] [^^^] [ответить]	+/–
яндекс пользуется, судя по подписи, веткой 1.5 (собственной разработки, видимо, что там вообще доделано?), которую похоронили. в угоду ветке 2.0, на которую забили. в ветке 1.4 обновления выходят раз в год, и нет много чего, особенно забавно выглядит конфиг для ipv6 со вставками на perl и игнорированием собственных настроек биндинга.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: