Увидел свет релиз легковесного http-сервера lighttpd 1.4.35. Выпуск носит корректирующий характер и содержит около двадцати изменений. Отдельно отмечается устранение уязвимости, которая проявляется при использовании модуля mod_mysql_vhost и может привести к подстановке SQL-кода через передачу специально оформленного содержимого HTTP-заголовка "Host:" (например, "Host: [::1]' UNION SELECT '/") из-за некорректной проверки IPv6 адресов.

Уязвимость также присутствует в модулях mod_evhost и mod_simple_vhost и позволяет выйти за пределы текущей директории при указании ".." в пути, но проявляется только при наличии директорий с символами "[]", что делает уязвимость неприменимой на практике (например при наличии маски evhost.path-pattern = "/var/www/%0/" указание в поле "Host:" имени "[]/../../../" может привести к выходу за пределы /var/www/ при наличии директории /var/www/[]/).

Кроме уязвимостей в новом выпуске устранена порция выявленных в процесcе тестирования в scan.coverity.com проблем, связанных с некорректной работой с буферами, утечками памяти и обращением к уже освобождённым областям памяти.