发布信息¶

• 版本: 1.4.19
• 上一版本: 1.4.18
• 分支: 1.4
• 状态: 稳定版
• 发布目的: 安全和错误修复
• 发布经理: darix
• 发布日期: 2008-03-10

"德国制造"

是的，发布日期再次因一些安全漏洞而确定。咳咳 尽管如此，我们还是获得了大量其他不错的错误修复。所有荣耀归于我们新的 lighttpd 英雄 Stefan Bühler。我（darix）在此表示衷心感谢。

• Lighttpd SA 2008:01 (补丁: lighttpd-1.4.x_high_load_dos.patch)
• Lighttpd SA 2008:02 (补丁: lighttpd-1.4.x_mod_cgi_disclosure.patch)
• Lighttpd SA 2008:03 (补丁: lighttpd-1.4.x_mod_userdir_disclosure.patch)

自 1.4.18 版以来的更改¶

• 增加对 If-Range: <date> 的支持 (#1346)
• 增加在配置中匹配 {{{$HTTPscheme}}} 的支持
• 修复 chroot 后调用 initgroups() 的问题 (#1384)
• 修复 Auth-Method 的大小写敏感检查问题 (#1456)
• 如果作为 spawn-fcgi 的参数使用，则不通过 /bin/sh 执行 fcgi 应用程序 (#1428)
• 修复了在 fcgi、scgi 和代理模块中，当匹配 URI 结尾时，以 /- 为前缀的扩展名也会被处理的错误 (#1489)
• 如果 X-LIGHTTPD-send-file 无法完成，则打印错误；重置 send-file 的 Content-Length 头。补丁由 Stefan Buehler 提供
• 防止某些 php-fcgi 配置中发生崩溃 (#841)
• 在 mod_status 的 ?auto 模式中添加 {{{IdleServers}}IdleServers} 和 Scoreboard 指令 (#1507)
• 守护进程化后立即打开日志，修复启动时的 SIGPIPE 问题 (#165)
• 当使用 mod_extforward 且设置了 X-Forwarded-Proto 头时，HTTPS 环境变量应为“on”。(#1499)
• 根据最新修改的 include 为 mod_ssi 生成 ETag 和 Last-Modified 头 (#1491)
• 支持 mod_userdir 中的字母主目录 (#1473)
• 支持 mod_extforward 中的链式代理 (#1528)
• 修复了在关机时杀死 CGI 进程后出现“cgi died ?”的虚假提示
• 修复 network-openssl 中的 ECONNRESET 处理问题
• 修复 network-linux-sendfile 中的 EAGAIN 处理问题 (#657)
• 重置条件缓存 (#1164)
• 在 mod_compress 中创建目录（别名/用户目录曾导致此问题） (#1027)
• 修复了 fd 数组中的越界访问问题 (#1562, #372) (CVE-2008-0983)
• mod_compress 应该检查请求是否已被处理，例如通过 fastcgi (#1565)
• 移除针对有 SSL/分块编码问题的 Opera 浏览器版本的损坏变通方法 (#285)
• 为即时压缩文件生成 etag/last-modified 头 (#1171)
• req-method OPTIONS: 如果请求被拒绝，不要插入默认响应；默认情况下不要拒绝 OPTIONS (#1324)
• 修复 windows 上的内存泄漏问题 (#1347)
• 修复在 src 目录之外构建的问题 (#1349)
• 修复 etag.c 中 stdint.h/inttypes.h 的包含问题 (#1413)
• 如果禁用范围请求，则不添加 Accept-Ranges 头 (#1449)
• 在 error.log 中记录失败认证尝试的 IP（增强 #1544）
• 修复 mod_proxy 中的 {{{RoundRobin}}RoundRobin} 问题 (#516)
• 在成功匹配 pathinfo 后检查符号链接 (#1574)
• 修复 mod-proxy.t 以在 src 目录之外的 builddir 中运行
• 在“307 Temporary Redirect”时不抑制内容 (#1412)
• 修复 connections.c 中如果响应正文被移除时的 Content-Length 头 (#1412, 第 2 部分)
• 不为 HEAD 请求生成“Content-Length: 0”头，并添加了测试
• 如果压缩或写入失败，则移除压缩缓存文件 (#1150)
• 修复状态 300 请求的正文处理问题
• spawn-fcgi: 在生成前只尝试连接到 unix 套接字（而不是 tcp） (#1575)
• 修复如果 fork 失败时发送 cgi 脚本源而不是 500 错误的问题 (CVE-2008-1111)
• 修复 mod_scgi.c 中的 min-procs 处理问题，仅设置为 max-procs（补丁来自 #623）
• 修复 mod_secdownload 中对超时 URL 发送“408 - Timeout”而不是“410 - Gone”的问题 (#1440)
• 解决 #1587：要求设置 userdir.path 以启用 mod_userdir（允许空字符串） (CVE-2008-1270)
• 使 --with-pcre、--with-zlib 和 --with-bzip2 的配置检查在找不到头文件时失败
• 修复 solaris 上 mod_ssi 中 waitpid() == EINTR 的处理问题

外部参考¶

• https://lighttpd.ac.cn/2008/3/10/1-4-19-made-in-germany

下载¶

• https://lighttpd.ac.cn/download/lighttpd-1.4.19.tar.gz
• MD5: cede410e7adee3ea14206749190a8b5d
• SHA1: 79e2d61dd9017c3c50c0fe98b2289cae5c1255ee
• https://lighttpd.ac.cn/download/lighttpd-1.4.19.tar.bz2
• MD5: d787374e4e4aaa09d5cfa9ab9d23ad40
• SHA1: fd4450e7faae55ebe0905114722995b0c57397cc