发布信息¶

• 版本: 1.4.67
• 上一版本: 1.4.66
• 分支: 1.4
• 状态: 稳定版
• 发布目的: 错误修复
• 发布经理: gstrauss
• 发布日期: 2022-09-17

1.4.66版本的重要变更¶

错误修复

未来计划的行为变更¶

• TLS 模块将默认使用更强大、更现代的密码套件，并且
  将默认允许客户端选择密码套件。
  在限制使用支持 PFS 的现代密码套件的情况下，允许客户端选择密码套件是安全的，
  这对于没有 AES 硬件加速的移动用户来说更好。
  对于没有 AES 硬件加速的移动用户来说更好。
  旧版密码套件仍可通过在 lighttpd.conf 中使用
  ssl.openssl.ssl-conf-cmd 进行配置，只要
  底层 TLS 库支持这些密码套件。 https://wiki.lighttpd.net/Docs_SSL
  新默认值
  "CipherString" => "EECDH+AESGCM:AES256+EECDH:CHACHA20:!SHA1:!SHA256:!SHA384",
  "Options" => "-ServerPreference"
  旧默认值
  "CipherString" => "HIGH",
  "Options" => "ServerPreference"

• 已弃用的 TLS 选项将被移除。
  - ssl.honor-cipher-order
  - ssl.dh-file
  - ssl.ec-curve
  - ssl.disable-client-renegotiation
  - ssl.use-sslv2
  - ssl.use-sslv3
  请参阅 https://wiki.lighttpd.net/Docs_SSL，了解如何使用
  ssl.openssl.ssl-conf-cmd 进行替换，但更推荐使用 lighttpd 默认值。

• 继续逐步弃用“迷你应用”lighttpd 模块，
  因为 mod_magnet lua 实现更优越、更灵活。
  如果您使用这些模块，请在 lighttpd 论坛上发布您的反馈。
  论坛: https://redmine.lighttpd.ac.cn/projects/lighttpd/boards

• 已弃用: mod_evasive 将被移除。
  mod_evasive 可通过 mod_magnet 和几行 Lua 代码替代。
  替代方案: https://wiki.lighttpd.net/ModMagnetExamples#lua-mod_evasive
  https://wiki.lighttpd.net/AbsoLUAtion#Fight-DDoS
  https://wiki.lighttpd.net/AbsoLUAtion#Mod_Security

• 已弃用: mod_secdownload 将被移除。
  mod_secdownload 可通过 mod_magnet 和几行 Lua 代码替代。
  替代方案: https://wiki.lighttpd.net/ModMagnetExamples#lua-mod_secdownload
  mod_secdownload 历史上使用不安全的 MD5，尽管 SHA1、SHA256 可用。

• 已弃用: mod_uploadprogress 将被移除。
  mod_uploadprogress 可通过 mod_magnet 和几行 Lua 代码替代。
  替代方案: https://wiki.lighttpd.net/ModMagnetExamples#lua-mod_uploadprogress

• 已弃用: mod_usertrack 将被移除。
  mod_usertrack 可通过 mod_magnet 和几行 Lua 代码替代。
  替代方案: https://wiki.lighttpd.net/ModMagnetExamples#lua-mod_usertrack
  mod_usertrack 历史上使用不安全的 MD5。

下载¶

• https://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.67.tar.gz
  • GPG 签名: https://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.67.tar.gz.asc
  • SHA256: de3c783a0ec3459e7e36a5ef08e13482d8640b339570dd036dfd456a6f7bb312
• https://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.67.tar.xz
  • GPG 签名: https://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.67.tar.xz.asc
  • SHA256: 7e04d767f51a8d824b32e2483ef2950982920d427d1272ef4667f49d6f89f358
• SHA256 校验和: https://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.67.sha256sum
• SHA512 校验和: https://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.67.sha512sum

自 1.4.66 版本以来的变更¶

• 更新关于 OpenBSD 上 TCP_INFO 的注释
• [mod_ajp13] 修复响应头错误导致的崩溃 (修复 #3170)
• [核心] 处理收集分块主体时的 RDHUP
• [核心] 调整请求主体流式传输到后端
• [核心] 处理 pwritev() 的 ENOSPC 错误 (#3171)
• [核心] 手动计算 off_t 最大值 (修复 #3171)
• [autoconf] 强制启用大文件支持 (#3171)
• [多个] 使用类型转换消除 Coverity 警告
• [meson] 向项目声明添加许可证关键词

外部参考¶

• https://lighttpd.ac.cn/2022/9/17/1.4.67