CVE-2019-10081 - праблема ў mod_http2, якая можа прывесці да пашкоджання памяці пры адпраўцы push-запытаў на вельмі ранняй стадыі. Пры выкарыстанні налады «H2PushResource» магчымы перазапіс вобласці памяці ў пуле апрацоўкі запытаў, але праблема абмежавана крахам, бо якія запісваюцца дадзеныя не засноўваюцца на інфармацыі, атрыманай ад кліента;
CVE-2019-9517 - схільнасць нядаўна анансаванай DoS-уразлівасці ў рэалізацыях HTTP/2.
Атакуючы можа вычарпаць даступную працэсу памяць і стварыць вялікую нагрузку на CPU, адчыняючы слізгальнае акно HTTP/2 для адпраўкі серверам дадзеных без абмежаванняў, але пры гэтым трымаючы акно TCP зачыненым, што не дазваляе фактычна запісаць дадзеныя ў сокет;
CVE-2019-10098 - праблема ў mod_rewrite, якая дазваляе выкарыстоўваць сервер для пракіду зваротаў на іншыя рэсурсы (open redirect). Некаторыя налады mod_rewrite могуць прывесці да выкіду карыстальніка на іншую спасылку, закадаваную з выкарыстаннем сімвала перакладу радка ўнутры параметра, які выкарыстоўваецца ў існуючым рэдырэкце. Для блакавання праблемы ў RegexDefaultOptions можна выкарыстоўваць сцяг PCRE_DOTALL, які зараз выстаўлены па змаўчанні;
CVE-2019-10092 - магчымасць здзяйснення міжсайтавага скрыптынгу на старонках памылак, якія выводзяцца mod_proxy. На дадзеных старонках у спасылцы падстаўляецца атрыманы з запыту URL, у якім атакавалы праз экранаванне знакаў можа падставіць адвольны HTML-код;
CVE-2019-10097 - перапаўненне стэка і разнайменне паказальніка NULL у mod_remoteip, якое эксплуатуецца праз маніпуляцыі з загалоўкам пратаколу PROXY. Атака можа быць здзейснена толькі з боку выкарыстоўванага ў наладах проксі-сервера, а не праз запыт кліента;
CVE-2019-10082 - Уразлівасць у mod_http2, якая дазваляе ў момант завяршэння злучэння ініцыяваць чытанне змесціва з ужо вызваленай вобласці памяці (read-after-free).
Найбольш прыкметныя змены, не звязаныя з бяспекай:
У mod_proxy_balancer узмоцнена абарона ад нападаў XSS/XSRF са боку вузлоў, годных даверу;
У mod_session дададзена налада SessionExpiryUpdateInterval для вызначэння інтэрвалу абнаўлення часу заканчэння жыцця сеансу/cookie;
Праведзена чыстка старонак з памылкамі, накіраваная на выключэнні вываду на дадзеных старонках інфармацыі з запытаў;
У mod_http2 забяспечаны ўлік значэння параметра "LimitRequestFieldSize", які раней дзейнічаў толькі для праверкі палёў загалоўкаў HTTP/1.1;
Забяспечана стварэнне канфігурацыі mod_proxy_hcheck пры ім выкарыстанні ў BalancerMember;
Скарочана спажыванне памяці ў mod_dav пры выкарыстанні каманды PROPFIND над вялікай калекцыяй;
У mod_proxy і mod_ssl вырашаны праблемы з указаннем налад сертыфікатаў і SSL у ўнутры блока Proxy;
У mod_proxy дазволена ўжыванне налад SSLProxyCheckPeer* для ўсіх модуляў проксі;
Пашыраны магчымасці модуля mod_md, распрацаванага праектам Let's Encrypt для аўтаматызацыі атрымання і абслугоўвання сертыфікатаў з выкарыстаннем пратакола ACME (Automatic Certificate Management Environment):
Дададзена другая версія пратакола ACMEv2, якая цяпер прымяняецца па змаўчанні і выкарыстоўвае пустыя запыты POST замест GET.
Дададзена падтрымка праверкі на базе пашырэння TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), якое выкарыстоўваецца ў HTTP/2.