Релиз http-сервера lighttpd 1.4.30
Увидел свет релиз легковесного http-сервера lighttpd 1.4.30. Релиз носит корректирующий характер и содержит 12 исправлений, из которых можно отметить: В модуле http_auth устранена уязвимость, позволяющая инициировать крах http-сервера при передаче в процессе аутентификации некорректных символов в блоке, закодированном методом base64 (например, при использовании внутри блока base64 символов с кодом больше 0x7f); Добавлена защита от атак BEAST (Browser Exploit Against SSL/TLS). Чтобы защита заработала в настройки нужно добавить строку ‘ssl.cipher-list = «ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4-SHA:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM»‘; Для SSL-соединений запрещено инициирование клиентом повторного согласования параметров соединения (renegotiation), что позволяет защититься от DoS-атак на сервер; Устранена проблема с заглохшими висящими соединениями; Добавлена опция static-file.disable-pathinfo для запрета использования … Читать далее Релиз http-сервера lighttpd 1.4.30
