Увидел свет релиз легковесного http-сервера lighttpd 1.4.34. Выпуск носит корректирующий характер и содержит около двадцати изменений, из которых три связаны с устранением уязвимостей. Изменена рекомендуемая по умолчанию строка c параметрами применяемых методов шифрования ssl.cipher-list = "aRSA+HIGH !3DES +kEDH +kRSA !kSRP !kPSK", из которой исключена поддержка шифров RC4, 3DES, SRP, PSK и DHE (EDH) и выставлены более жесткие требования к RSA.
Устранены три уязвимости:
Уязвимость CVE-2013-4560 вызвана обращением к уже освобождённой области памяти и позволяет инициировать удалённый отказ в обслуживании (крах процесса).
Уязвимость CVE-2013-4559 вызвана отсутствием проверки значений, возвращаемых функциями setuid, setgid и setgroups, что может привести к запуску lighttpd под пользователем root вместо www-data после перезапуска в условиях достижения процессом заданного в системе лимита на число доступных для пользователя www-data процессов. Например, атакующий может вычислить время периодического перезапуска и наплодить в этот момент процессов через запуск CGI-сктиптов, при успехе атаки после перезапуска CGI-скрипты будут запускаться уже под root.
Уязвимость CVE-2013-4508 связана с использованием слабых SSL-шифров при включении SNI, что позволяет атакующему осуществить подстановку поддельных пакетов в соединение между клиентом и сервером или организовать прослушивание трафика.
Из не связанных с безопасностью изменений можно отметить решение проблем со сборкой без поддержки IPv6, устранение утечек памяти и файловых дескрипторов, организация декодирования URL перед применением rewrite-правил.