发布信息¶

• 版本: 1.4.66
• 上一版本: 1.4.65
• 分支: 1.4
• 状态: 稳定
• 发布目的: 错误修复
• 发布经理: gstrauss
• 发布日期: 2022-08-07

1.4.65的重要变更¶

错误修复

未来计划的行为变更¶

• TLS 模块将默认使用更强大、更现代的密码套件，并且
  将默认允许客户端优先选择密码套件。
  允许客户端优先选择密码套件是安全的，配合
  限制使用支持 PFS 的现代密码套件，而且
  对于没有 AES 硬件加速的移动用户来说更好。
  旧版密码套件仍然可以通过 lighttpd.conf 使用
  `ssl.openssl.ssl-conf-cmd` 进行配置，只要
  底层 TLS 库支持这些密码套件即可。 https://wiki.lighttpd.net/Docs_SSL
  新默认设置
  "CipherString" => "EECDH+AESGCM:AES256+EECDH:CHACHA20:!SHA1:!SHA256:!SHA384",
  "Options" => "-ServerPreference"
  旧默认设置
  "CipherString" => "HIGH",
  "Options" => "ServerPreference"

• 已弃用的 TLS 选项将被移除。
  - ssl.honor-cipher-order
  - ssl.dh-file
  - ssl.ec-curve
  - ssl.disable-client-renegotiation
  - ssl.use-sslv2
  - ssl.use-sslv3
  请参阅 https://wiki.lighttpd.net/Docs_SSL 了解如何使用
  `ssl.openssl.ssl-conf-cmd` 进行替代，但更推荐使用 lighttpd 的默认设置。

• 继续逐步弃用“迷你应用”lighttpd 模块，
  因为 mod_magnet lua 实现更好、更灵活。
  如果您使用这些模块，请在 lighttpd 论坛上发表意见以分享反馈。
  论坛: https://redmine.lighttpd.ac.cn/projects/lighttpd/boards

• 已弃用: mod_evasive 将被移除。
  mod_evasive 可以通过 mod_magnet 和几行 lua 代码来替代。
  替代方案: https://wiki.lighttpd.net/ModMagnetExamples#lua-mod_evasive
  https://wiki.lighttpd.net/AbsoLUAtion#Fight-DDoS
  https://wiki.lighttpd.net/AbsoLUAtion#Mod_Security

• 已弃用: mod_secdownload 将被移除。
  mod_secdownload 可以通过 mod_magnet 和几行 lua 代码来替代。
  替代方案: https://wiki.lighttpd.net/ModMagnetExamples#lua-mod_secdownload
  mod_secdownload 历史上使用不安全的 MD5，尽管 SHA1 和 SHA256 可用。

• 已弃用: mod_uploadprogress 将被移除。
  mod_uploadprogress 可以通过 mod_magnet 和几行 lua 代码来替代。
  替代方案: https://wiki.lighttpd.net/ModMagnetExamples#lua-mod_uploadprogress

• 已弃用: mod_usertrack 将被移除。
  mod_usertrack 可以通过 mod_magnet 和几行 lua 代码来替代。
  替代方案: https://wiki.lighttpd.net/ModMagnetExamples#lua-mod_usertrack
  mod_usertrack 历史上使用不安全的 MD5。

下载¶

• https://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.66.tar.gz
  • GPG 签名: https://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.66.tar.gz.asc
  • SHA256: d919c3f9031e2580b94b311a3749eaa1e3b4a6a57b2d5c4cbcad40c0a73a7200
• https://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.66.tar.xz
  • GPG 签名: https://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.66.tar.xz.asc
  • SHA256: 47ac6e60271aa0196e65472d02d019556dc7c6d09df3b65df2c1ab6866348e3b
• SHA256 校验和: https://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.66.sha256sum
• SHA512 校验和: https://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.66.sha512sum

1.4.65的变更¶

• [核心] h2: 优化: 以 16k 单位发送窗口更新
• [mod_magnet] http-response-send-file 重置
• [多模块] 修复 json 编码
• [核心] buffer_append_bs_escaped_json()
• [autoconf] 更新 ax_prog_cc_for_build.m4
• [文档] 在 INSTALL 中添加 libdeflate
• [mod_webdav] 如果 xml 请求体没有数据库配置，则冷函数
• [mod_webdav] 检查请求体 Content-Type 是否为 XML
• [文档] 示例中变量使用更一致
• [核心] 如果未使用，则不加载 indexfile, dirlisting
• [mod_dirlisting] 发送 ETag, Cache-Control 与缓存
• [mod_openssl] 兼容 openssl < 1.1.0 编译
• [mod_webdav] webdav_reqbody_type_xml() 修复
• [核心] 澄清 server.username = "root" 错误消息
• [mod_wolfssl] 兼容旧版 wolfssl 版本
• [核心] 修复 li_base64_dec() 在空白字符上的问题
• [核心] 性能调整 buffer_eq_icase_ssn()
• [mod_deflate] 修复 libdeflate 对大于 128k 文件的使用 (修复 #3161)
• [核心] 修复 buffer_substr_replace() 扩展 (修复 #3160)
• [mod_webdav] 使用 Android NDK 构建
• [核心] 在处理 Range 之前检查 r->http_status
• [核心] 强制使用加密库的预处理器选项
• [核心] 修复 SIGUSR1 带 TLS 的平滑重启 (修复 #3164)
• [mod_authn_gssapi] 如果没有保密性标志则发出警告 (修复 #3163)
• [mod_wstunnel] 修复因 hybivers 错误导致的崩溃 (修复 #3165)
• [核心] 性能: 调整最大 h2 流发送增量
• [核心] 修复 HTTP/2 下载 >= 4GiB 的问题 (修复 #3166)

外部引用¶

• https://lighttpd.ac.cn/2022/8/7/1.4.66