发布信息¶

• 版本: 1.4.35
• 上一个版本: 1.4.34
• 分支: 1.4
• 状态: 稳定
• 发布目的: 错误修复
• 发布经理: stbuehler
• 发布日期: 2014-03-12

1.4.35的重要变更¶

此版本包含大量错误修复，其中许多由 scan.coverity.com 检测到（未来还会有更多）。此版本发布的主要原因是修复了一个由特制（且无效）的 Host: 头信息触发的 SQL 注入（和路径遍历）漏洞。

下载¶

• http://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.35.tar.gz
  • GPG 签名: http://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.35.tar.gz.asc
  • SHA256: 62c23de053fd82e1bf64f204cb6c6e44ba3c16c01ff1e09da680d982802ef1cc
• http://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.35.tar.bz2
  • GPG 签名: http://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.35.tar.bz2.asc
  • SHA256: 4a71c1f6d8af41ed894b507720c4c17184dc320590013881d5170ca7f15c5bf7
• http://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.35.tar.xz
  • GPG 签名: http://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.35.tar.xz.asc
  • SHA256: 113e9b72ccbd1da5deb0774bf93cf0ca15dc82aad2da0f04e5ab27d37d3f30a3
• SHA256 校验和: http://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.35.sha256sum

1.4.34的变更¶

• [network/ssl] 修复 TLSEXT 被禁用时的构建错误
• [mod_fastcgi] 修复 use after free (仅在 fastcgi 调试激活时触发)
• [mod_rrdtool] 修复无效读取 (字符串未以 null 结尾)
• [mod_dirlisting] 修复 pcre 失败时的内存泄漏
• [mod_fastcgi,mod_scgi] 修复生成后端时的资源泄漏
• [mod_magnet] 修复内存泄漏
• 添加 switch fall through 的注释
• 移除逻辑上不可达的代码
• [buffer] 修复 buffer_is_equal_right_len 中的长度检查
• 修复配置解析和其他初始化中错误情况下的资源泄漏
• 添加 force_assert() 以强制执行断言，因为简单的 assert() 被 -DNDEBUG 禁用 (修复 #2546)
• [mod_cml_lua] 修复空指针解引用
• 强制断言: 设置 FD_CLOEXEC 必须成功 (如果可用)
• [network] 检查 lseek() 的返回值
• 修复 stream_open/stat_cache_get_entry 未检查返回值的问题
• [mod_webdav] 修复文件创建错误处理中的逻辑错误
• 检查 unix 域套接字文件名的长度
• 修复 SQL 注入 / 主机名验证 (感谢 Jann Horn)

外部参考¶

• https://lighttpd.ac.cn/2014/3/12/1.4.35/