好久不见。

距离1.4.18版本发布已将近半年。六个月了。Jan一直在为1.5版本开发许多有趣的新功能。¹ 目前他正在将其移植到glib2。

但回到1.4.19版本。是的，发布日期再次被几个安全漏洞所决定。（咳咳）尽管如此，我们还是带来了一大堆其他优秀的错误修复。向我们新的lighttpd英雄Stefan Bühler致敬。我在此表示衷心的感谢。(darix)

• lighttpd_sa_2008_01.txt （补丁：lighttpd-1.4.x_high_load_dos.patch）
• lighttpd_sa_2008_02.txt （补丁：lighttpd-1.4.x_mod_cgi_disclosure.patch）
• lighttpd_sa_2008_03.txt （补丁：lighttpd-1.4.x_mod_userdir_disclosure.patch）

下载

• lighttpd-1.4.19.tar.gz
  （sha1sum: 79e2d61dd9017c3c50c0fe98b2289cae5c1255ee
  md5sum: cede410e7adee3ea14206749190a8b5d）
• lighttpd-1.4.19.tar.bz2
  （sha1sum: fd4450e7faae55ebe0905114722995b0c57397cc
  md5sum: d787374e4e4aaa09d5cfa9ab9d23ad40）

更改

• 增加了对 If-Range: <日期> 的支持 (#1346)
• 增加了在配置中匹配 $HTTP["scheme"] 的支持
• 修复了在 chroot 后调用 initgroups() 的问题 (#1384)
• 修复了对 Auth-Method 的区分大小写检查 (#1456)
• 如果作为 spawn-fcgi 的参数使用，则不通过 /bin/sh 执行 fcgi 应用程序 (#1428)
• 修复了一个错误，该错误导致以 /- 为前缀的扩展名在 fcgi、scgi 和 proxy 模块中匹配 URI 结尾时也被处理 (#1489)
• 如果无法执行 X-LIGHTTPD-send-file，则打印错误；为 send-file 重置 Content-Length 头部。Stefan Buehler 提供的补丁
• 防止在某些 php-fcgi 配置中崩溃 (#841)
• 在 mod_status 的 ?auto 模式中添加 IdleServers 和 Scoreboard 指令 (#1507)
• 在守护进程化后立即打开日志，修复了启动时的 SIGPIPE 错误 (#165)
• 当使用 mod_extforward 且 X-Forwarded-Proto 头部已设置时，HTTPS 环境变量应为“on”。(#1499)
• 根据最新的修改包含文件为 mod_ssi 生成 ETag 和 Last-Modified 头部 (#1491)
• 在 mod_userdir 中支持 letterhomes (#1473)
• 在 mod_extforward 中支持链式代理 (#1528)
• 修复了在关闭时杀死 CGI 进程后出现虚假“cgi died ?”提示的问题
• 修复了 network-openssl 中 ECONNRESET 的处理问题
• 修复了 network-linux-sendfile 中 EAGAIN 的处理问题 (#657)
• 重置条件缓存 (#1164)
• 在 mod_compress 中创建目录（与 alias/userdir 一起使用时曾出现问题）(#1027)
• 修复了 fd 数组中的越界访问 (#1562, #372) (CVE-2008-0983)
• mod_compress 应该检查请求是否已被处理，例如由 fastcgi 处理 (#1565)
• 移除针对存在 ssl/分块编码错误的 Opera 版本的损坏的解决方法 (#285)
• 为即时压缩文件生成 etag/last-modified 头部 (#1171)
• 请求方法 OPTIONS：如果请求被拒绝，不插入默认响应；默认情况下不拒绝 OPTIONS 请求 (#1324)
• 修复了 Windows 上的内存泄漏 (#1347)
• 修复了在 src 目录外构建的问题 (#1349)
• 修复了 etag.c 中 stdint.h/inttypes.h 的包含问题 (#1413)
• 如果范围请求被禁用，则不添加 Accept-Ranges 头部 (#1449)
• 在 error.log 中记录失败的认证尝试的 IP（增强功能 #1544）
• 修复了 mod_proxy 中的 RoundRobin 问题 (#516)
• 在 pathinfo 成功匹配后检查符号链接 (#1574)
• 修复了 mod-proxy.t 以便在 src 目录外部的构建目录中运行
• 在“307 临时重定向”时不要抑制内容 (#1412)
• 修复了如果在 connections.c 中响应正文被移除时 Content-Length 头部的问题 (#1412，第二部分)
• 不对 HEAD 请求生成“Content-Length: 0”头部，并添加了测试
• 如果压缩或写入失败，则移除压缩缓存文件 (#1150)
• 修复了状态 300 请求的正文处理问题
• spawn-fcgi：在生成前只尝试连接到 Unix 套接字（而非 TCP）(#1575)
• 修复了如果 fork 失败时发送 CGI 脚本源而不是 500 错误的问题 (CVE-2008-1111)
• 修复了 mod_scgi.c 中的 min-procs 处理问题，直接设置为 max-procs（补丁来自 #623）
• 修复了 mod_secdownload 中对超时 URL 发送“408 - Timeout”而非“410 - Gone”的问题 (#1440)
• 规避措施 #1587：要求设置 userdir.path 以启用 mod_userdir（允许空字符串）(CVE-2008-1270)
• 如果未找到头文件，则使 --with-pcre、--with-zlib 和 --with-bzip2 的配置检查失败
• 修复了 Solaris 上 mod_ssi 中 waitpid() == EINTR 的处理问题