Увидел свет релиз легковесного http-сервера lighttpd 1.4.30. Релиз носит корректирующий характер и содержит 12 исправлений, из которых можно отметить:
В модуле http_auth устранена уязвимость, позволяющая инициировать крах http-сервера при передаче в процессе аутентификации некорректных символов в блоке, закодированном методом base64 (например, при использовании внутри блока base64 символов с кодом больше 0x7f);
Добавлена защита от атак BEAST (Browser Exploit Against SSL/TLS). Чтобы защита заработала в настройки нужно добавить строку 'ssl.cipher-list = "ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4-SHA:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM"';
Для SSL-соединений запрещено инициирование клиентом повторного согласования параметров соединения (renegotiation), что позволяет защититься от DoS-атак на сервер;
Устранена проблема с заглохшими висящими соединениями;
Добавлена опция static-file.disable-pathinfo для запрета использования в URL таких конструкций, как "../secret.php/image.jpg";
В mod_status устранена ошибка, из-за которой в поле прочитанных данных для загрузок всегда значилось "0/0";
Устранена ошибка, приводившая к обрыву SSL-соединений, если передаваемые файлы по размеру больше значения MAX_WRITE_LIMIT (256 Кб).