发布信息¶

• 版本: 1.4.32
• 上一版本: 1.4.31
• 分支: 1.4
• 状态: 稳定版
• 发布目的: 安全修复, 错误修复
• 发布经理: stbuehler
• 发布日期: 2012-11-21

1.4.31 的重要变更¶

一个重要的拒绝服务 (在 1.4.31 中) 修复: CVE-2012-5533。

下载¶

• http://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.32.tar.gz
  • GPG 签名: http://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.32.tar.gz.asc
  • SHA256: 0765e07dac432393dea3950639d5ba646ded95a9408ad002e54b3353ab6b9645
• http://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.32.tar.bz2
  • GPG 签名: http://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.32.tar.bz2.asc
  • SHA256: 60691b2dcf3ad2472c06b23d75eb0c164bf48a08a630ed3f308f61319104701f
• http://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.32.tar.xz
  • GPG 签名: http://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.32.tar.xz.asc
  • SHA256: 1368f80069ce71f5928cad59c8e60c0b95876942ca9e02c53853e54ae24aedc1
• SHA256 校验和: http://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.32.sha256sum

1.4.31 的变更¶

• 使用 clang/sparse 进行代码清理 (修复 #2437, 感谢 kibi)
• 在 SSL_shutdown 后忽略 EPIPE/ECONNRESET
• 处理 ENAMETOOLONG，返回 404 Not Found (修复 #2396, 感谢 dererkazo)
• configure.ac: 移除旧内容，添加新内容以修复 automake 1.12 中的警告 (修复 #2419, 感谢 blino)
• 添加 PATCH 方法 (修复 #2424)
• 修复 $HTTP["host"] 检查中的 :port 处理 (修复 #2135。 感谢 liming)
• network_server_init: 修复错误时的双重释放和内存泄漏 (修复 #2440, 感谢 kyprizel)
• 将 "x-gzip"/"x-bzip2" 检测为单独的编码，更严格的编码匹配 (修复 #2443)
• 测试: 确保 mod_proxy 不会留下运行中的进程 (修复 #2435, 感谢 kibi)
• mod_extforward: 使用 debug.log-request-handling 记录不受信任的代理地址
• 修复 Connection 头值分割中的 DoS 问题 (由 Jesse Sipprell 报告, CVE-2012-5533)
• 移除标头键末尾的空格

外部参考¶

• https://lighttpd.ac.cn/2012/11/21/1-4-32
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5533
• http://download.lighttpd.net/lighttpd/security/lighttpd_sa_2012_01.txt
• http://download.lighttpd.net/lighttpd/security/lighttpd-1.4.31_fix_connection_header_dos.patch