Релиз http-сервера lighttpd 1.4.30

Увидел свет релиз легковесного http-сервера lighttpd 1.4.30. Релиз носит корректирующий характер и содержит 12 исправлений, из которых можно отметить:

  • В модуле http_auth устранена уязвимость, позволяющая инициировать крах http-сервера при передаче в процессе аутентификации некорректных символов в блоке, закодированном методом base64 (например, при использовании внутри блока base64 символов с кодом больше 0x7f);
  • Добавлена защита от атак BEAST (Browser Exploit Against SSL/TLS). Чтобы защита заработала в настройки нужно добавить строку 'ssl.cipher-list = "ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4-SHA:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM"';
  • Для SSL-соединений запрещено инициирование клиентом повторного согласования параметров соединения (renegotiation), что позволяет защититься от DoS-атак на сервер;
  • Устранена проблема с заглохшими висящими соединениями;
  • Добавлена опция static-file.disable-pathinfo для запрета использования в URL таких конструкций, как "../secret.php/image.jpg";
  • В mod_status устранена ошибка, из-за которой в поле прочитанных данных для загрузок всегда значилось "0/0";
  • Устранена ошибка, приводившая к обрыву SSL-соединений, если передаваемые файлы по размеру больше значения MAX_WRITE_LIMIT (256 Кб).


Источник:
http://www.opennet.ru/opennews/art.shtml?num=32597

<= Назад
Комментарии
]]> ipv6 ready Kiev LUGLinux4MeНостальгияЛичный сайт skeletora ]]>