lighttpd 1.4.28

lighttpd 1.4.11

lighttpd, как уже можно догадаться из названия, является легким HTTP-сервером, созданный для использования в высокопроизводительных системах, где критичен объем занимаемой памяти и ресурсов процессора. Тем не менее, lighttpd обладает приличной функциональностью: поддерживает настраиваемые страницы ошибок (коды 400-599), виртуальные хосты, HTTP-редиректы и подобие mod_rewrite в Apache, сжатие на лету (в deflate, gzip, bzip2), аутентификацию (обычную и htpasswd, htdigest, ldap), SSI (Server Side Includes), скрипты CGI (в том числе с более быстрым режимом FastCGI) и PHP (выполняются, как обещают, быстрее или с такой же скоростью, как в mod_php4 у Apache). И для полного счастья в описании lighttpd сообщается, что web-сервер безопасен (отчасти это, наверное, связано с его относительно скромной популярностью), и в нем присутствуют возможности chroot(), смены UID и GID, строгой проверки HTTP-заголовков.

Home_http://www.lighttpd.net/

Скачать: Source Package:_http://www.lighttpd.n...-1.4.11.tar.gz

Binary RPM: _http://www.lighttpd.n....11-1.i386.rpm

После 8 пре-релизов вышла новая стабильная версия лёгкого, быстрого и безопасного HTTP-сервера lighttpd 1.4.12.

В этой версии были исправлены давние ошибки, такие как:

* подвисание SSL при работе с Opera (добавлено решение-обход этой ошибки Оперы)
* большой список исправлений в SSL в целом
* добавлены ssl.use-sslv2 и ssl.cipher-list

из нового добавлены всего-лишь две вещи:

* (экспериментальная) поддержка LOCK в webdav
* mod_magnet как замена mod_cml (mod_cml считается устаревшим и будет удалён в 1.5.0, mod_magnet обеспечивает всю необходимую и более функциональность, с более ясным синтаксисом в более общей форме).

---

Downloads (~777 Kb)_http://www.lighttpd.n...-1.4.12.tar.gz

lighttpd 1.4.13


Скачать:
http://www.lighttpd.n...-1.4.13.tar.gz ~779kb

lighttpd 1.4.15


Скачать:
http://www.lighttpd.n...-1.4.15.tar.gz ~776kb

---

Downloads (~778 Kb)_http://www.lighttpd.n...-1.4.16.tar.gz

---

Downloads_http://www.lighttpd.n...-1.4.17.tar.gz

---

Downloads_http://www.lighttpd.n...-1.4.18.tar.gz

lighttpd 1.5.0 r1992

PRE-RELEASE: lighttpd-1.5.0-r1992

Some time passed since the last pre-release, time for an update.

Everyone who runs 1.5.0 already has to upgrade to get fixes several vulnerabilities that got fixed in the 1.4.x branch already.

If this release passes your requirements it will be the last 1.5.0 pre-release. Afterwards we will start the the normal 1.5.x series and will add the missing features in 1.5.1 and later.

Changes
added native support for mingw32
added experimental option to compile without glib
fixed mod_uploadprogress
fixed endless loop on freebsd-sendfile (#1289)
fixed compile in IRIX and HP/UX
fixed hardcoded font-sizes in mod_dirlisting (#1267)
fixed different ETag length on 32/64 platforms (#1279)
fixed conditional dir-listing.exclude (#930)
fixed CONTENT_LENGTH = -1 in mod_cgi (#1276)
fixed typecast of NULL on execl() (#1235)
fixed extra Content-Length header on 1xx, 204 and 304 (#1002)
fixed mysql server reconnects (#518)
fixed prctl() usage (#1310, #1333)
fixed FastCGI header overrun in mod_proxy_backend_fastcgi (reported by [email protected])
fixed mem-leak in mod_auth (reported by Stefan Esser)
fixed crash with md5-sess and cnonce not set in mod_auth (reported by Stefan Esser)
fixed missing check for base64 encoded string in mod_auth and Basic auth (reported by Stefan Esser)
fixed possible crash in Auth-Digest header parser on trailing WS in mod_auth (reported by Stefan Esser)

_______________
Size: ~ 856 KB

Download:
http://www.lighttpd.n...0-r1992.tar.gz

Changes
added support for If-Range: (#1346)
added support for matching $HTTP["scheme"] in configs
fixed initgroups() called after chroot (#1384)
fixed case-sensitive check for Auth-Method (#1456)
execute fcgi app without /bin/sh if used as argument to spawn-fcgi (#1428)
fixed a bug that made /-prefixed extensions being handled also when matching the end of the uri in fcgi,scgi and proxy modules (#1489)
print error if X-LIGHTTPD-send-file cannot be done; reset header Content-Length for send-file. Patches by Stefan Buehler
prevent crash in certain php-fcgi configurations (#841)
add IdleServers and Scoreboard directives in ?auto mode for mod_status (#1507)
open log immediately after daemonizing, fixes SIGPIPEs on startup (#165)
HTTPS env var should be "on" when using mod_extforward and the X-Forwarded-Proto header is set. (#1499)
generate ETag and Last-Modified headers for mod_ssi based on newest modified include (#1491)
support letterhomes in mod_userdir (#1473)
support chained proxies in mod_extforward (#1528)
fixed bogus "cgi died ?" if we kill the CGI process on shutdown
fixed ECONNRESET handling in network-openssl
fixed handling of EAGAIN in network-linux-sendfile (#657)
reset conditional cache (#1164)
create directories in mod_compress (was broken with alias/userdir) (#1027)
fixed out of range access in fd array (#1562, #372) (CVE-2008-0983)
mod_compress should check if the request is already handled, e.g. by fastcgi (#1565)
remove broken workaround for buggy Opera version with ssl/chunked encoding (#285)
generate etag/last-modified header for on-the-fly-compressed files (#1171)
req-method OPTIONS: do not insert default response if request was denied, do not deny OPTIONS by default (#1324)
fixed memory leak on windows (#1347)
fixed building outside of the src dir (#1349)
fixed including of stdint.h/inttypes.h in etag.c (#1413)
do not add Accept-Ranges header if range-request is disabled (#1449)
log the ip of failed auth tries in error.log (enhancement #1544)
fixed RoundRobin in mod_proxy (#516)
check for symlinks after successful pathinfo matching (#1574)
fixed mod-proxy.t to run with a builddir outside of the src dir
do not suppress content on "307 Temporary Redirect" (#1412)
fixed Content-Length header if response body gets removed in connections.c (#1412, part 2)
do not generate a "Content-Length: 0" header for HEAD requests, added test too
remove compress cache file if compression or write failed (#1150)
fixed body handling of status 300 requests
spawn-fcgi: only try to connect to unix socket (not tcp) before spawning (#1575)
fix sending source of cgi script instead of 500 error if fork fails (CVE-2008-1111)
fix min-procs handling in mod_scgi.c, just set to max-procs (patch from #623)
fix sending "408 - Timeout" instead of "410 - Gone" for timedout urls in mod_secdownload (#1440)
workaround #1587: require userdir.path to be set to enable mod_userdir (empty string allowed) (CVE-2008-1270)
make configure checks for --with-pcre, --with-zlib and --with-bzip2 failing if the headers aren't found
fixed handling of waitpid() == EINTR mod_ssi on solaris

---

Downloads (~797 Kb)_http://www.lighttpd.n...-1.4.19.tar.gz

В новом релизе устранено около 60 ошибок, в том числе исправлено 4 уязвимости. Отдельно можно отметить обновление кода spawn-fcgi и изменение метода использования экранированных в URL символов в правилах модулей mod_rewrite и mod_redirect (отныне перед проверкой данные декодируются).

Исправленные уязвимости:

• Из-за утечки памяти в функции "http_request_parse()", злоумышленник может, наводнив сервер определенными запросами, исчерпать всю доступную в системе память, если объем выделяемой lighttpd памяти не лимитирован;
• Уязвимость, позволяющая злоумышленнику удаленно оборвать активные SSL соединения;
• Отсутствие в mod_userdir принудительного перевода символов запроса в нижний регистр, на системах не чувствительных к регистру имен файлов, может привести к утечке информации. Например, злоумышленник может вместо выполнения скрипта test.php, открыть файл test.PHP как текстовый документ;
• Возможность обхода правил редиректа в mod_rewrite и mod_redirect, через экранирование параметров запроса (url-encoded).

---

Downloads (~809 Kb)_http://www.lighttpd.n...-1.4.20.tar.gz