项目

通用

个人资料

操作
历史

发布版本 »

发布信息

  • 版本:1.4.76
  • 上一版本:1.4.75
  • 分支:1.4
  • 状态:稳定
  • 发布目的:错误修复
  • 发布经理:gstrauss
  • 发布日期:2024-04-12

1.4.75 的重要变更

检测到 VU#421644 HTTP/2 CONTINUATION 洪水攻击,避免 CVE-2024-3094 xz 供应链攻击,错误修复

  • 检测 VU#421644 HTTP/2 CONTINUATION 洪水攻击
    • 发出追踪并发送 GO_AWAY
    • (lighttpd 不受此攻击影响)
  • 避免 CVE-2024-3094 xz 供应链攻击
    • 使用 'git archive' 替换 'make dist' 来创建发布压缩包
      • 从发布流程中移除冗余的复杂性(m4 和 autotools)
      • 现在更容易验证源代码来自已签名的 git 发布标签

未来计划的行为变更:(2025)

  • lighttpd TLS 默认设置将变更为 MinProtocol TLSv1.3
    其他配置仍将受支持,但不会是默认设置。
    提议的默认值:MinProtocol TLSv1.3
    当前默认值:MinProtocol TLSv1.2
  • server.error-handler-404 将仅对 404 错误生效
    (历史错误:server.error-handler-404 曾同时对 404 和 403 错误生效)
    自 lighttpd 1.4.40 发布(2016 年 7 月)以来,server.error-handler 可用
    用于生成 4xx 和 5xx 响应的动态错误页面。
    自 lighttpd 1.4.56 发布(2020 年 11 月)以来,magnet.attract-response-start-to
    是一个额外的、高性能的机制,用于生成动态错误页面。
    https://wiki.lighttpd.net/mod_magnet

下载

1.4.75 的变更

  • [核心] 为内置 mimetype.assign 添加默认值
  • [核心] 添加 MPTCP 支持
  • [核心] 默认禁用 MPTCP 支持
  • [mod_expire] 对 204 No Content 省略缓存头
  • [mod_staticfile] noinline 冷函数
  • [核心] GNU/Hurd preadv2() RWF_NOWAIT ENOTSUP
  • [核心] Linux SPARC 上的 POLLRDHUP 特殊值
  • [mod_openssl] 定义 asn1 time 和 OPENSSL_NO_OCSP
  • [h2] VU#421644 HTTP/2 CONTINUATION 洪水攻击
  • [构建] packdist.sh git archive;替换 make dist
  • [核心] gw_network_backend_write_error() 冷函数
  • [核心] 减少某些后端连接中的系统调用
  • [核心] 如果正在连接,则推迟 TCP_FIN 传播(修复了 #3249
  • [CI] 解决 NetBSD 10 中的一些打包问题

外部参考

gstrauss大约 1 年前 更新 · 1 次修订