Вышел релиз http-сервера lighttpd 1.4.26 с исправлением DoS уязвимости

08.02.2010 07:50

Вышел релиз http-сервера lighttpd 1.4.26 в котором отмечено 10 изменений. Наиболее серьезные исправления связаны с налаживанием обработки в парсере запросов разбитых на части данных HTTP заголовка, устранением утечки файловых дескрипторов в mod_cgi, устранении возможности краха при определенном оформлении конфигурации mod_rewrite/mod_redirect, реализации корректной обработки обрыва соединения на этапе его закрытия на платформах не поддерживающих FDEVENT_HUP (например, при использовании select/poll во FreeBSD).

Кроме того в новой версии устранена уязвимость, позволяющая вызвать отказ в обслуживании без генерации большого объема трафика: запуск специального скрипта, генерирующего примерно 1 байт в секунду через пару минут приводит к израсходованию lighttpd всей доступной памяти.