lighttpd 보안 업데이트
Web Browser 로는 FTP 접속이 불가능 합니다.
문서번호 : 1291389531
업데이트 : 2010.12.04
상세내용
lighttpd 1.4.28-1 업데이트
* WARN!!!!!!
Packages System에서 lighttpd 이전 버전을 설치하여 사용하실 경우,
lighttpd를 삭제 하신 후, libkrisp를 업데이트 하신 후에 lighttpd를
재설치 해야 합니다. libkrisp가 2.1.5에서 3.1.0으로 업데이트 되면서
하위 호환성이 없기 때문에, 삭제 후 libkrisp 업데이트를 한 후에
재설치를 해야 의존성 에러가 나지 않습니다.
* 보안 버그 수정
. CVE-2010-0295
lighttpd before 1.4.26, and 1.5.x, allocates a buffer for each read
operation that occurs for a request, which allows remote attackers to
cause a denial of service (memory consumption) by breaking a request
into small pieces that are sent at a slow rate.
* official bug fix
. #2257 Silence annoying "connection closed: poll() -> ERR" error.log message
. #2259 Fix mod_proxy waiting for response even if content-length is 0
* socket backlog (listen api) 를 configuration 에서 처리 가능 하도록 지원
. server.backlog = 8192
* option 변경
. server.meta-charset -> dir-listing.encoding
. server.html-lang -> dir-listing.html-lang
* krisp 3.1 link
. 기존의 2.x 대와 호환되지 않음.
. server.krisp-used 옵션 제거
. module을 등록하면 자동으로 실행
. lighttpd 환경 변수로 지원
KRISP_ORIGINAL_IP
KRISP_CHECK_IP
KRISP_ISP_CODE
KRISP_ISP_NAME
KRISP_COUNTRY_CODE
KRISP_COUNTRY_NAME
. 설정 파일에서 KRISP 이용 예제
accesslog.format = "%h %V %u %t \"%r\" %>s %b [%{KRISP_COUNTRY_CODE}e]"
Autoupdates 지원 : Pakcages System 이용
pkgadd -F lighttpd
update 패키지
RPMS :
. lighttpd-1.4.28-1.i686.rpm
SRPMS :
. lighttpd-1.4.28-1.src.rpm
참고 :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0295
|