CVE-2020-1927: уявимость у mod_rewrite, якая дазваляе выкарыстоўваць сервер для пракіду зваротаў на іншыя рэсурсы (open redirect). Некаторыя налады mod_rewrite могуць прывесці да пракіду карыстальніка на іншую спасылку, закадаваную з выкарыстаннем сімвала перакладу радка ўнутры параметра, які выкарыстоўваецца ў існуючым рэдырэкце.
CVE-2020-1934: уразлівасць у mod_proxy_ftp. Выкарыстанне неініцыялізаваных значэнняў можа прывесці да ўцечкі змесціва памяці пры праксіраванні запытаў да FTP-сервера, падкантрольнага зламысніку.
Уцечка памяці ў mod_ssl, якая ўзнікае пры змацаванні запытаў OCSP.
Найбольш прыкметныя змены, не звязаныя з бяспекай:
Дададзены новы модуль mod_systemd, Які забяспечвае інтэграцыю з сістэмным мэнэджэрам systemd. Модуль дазваляе выкарыстоўваць httpd у сэрвісах з тыпам "Type=notify".
У apxs дададзеная падтрымка крос-кампіляцыі.
Пашыраны магчымасці модуля mod_md, распрацаванага праектам Let's Encrypt для аўтаматызацыі атрымання і абслугоўвання сертыфікатаў з выкарыстаннем пратакола ACME (Automatic Certificate Management Environment):
Дададзена дырэктыва MDContactEmail , праз якую можна пазначыць кантактны email, які не перасякаецца з дадзенымі з дырэктывы ServerAdmin.
Для ўсіх віртуальных хастоў забяспечана праверка падтрымкі пратакола, які выкарыстоўваецца пры ўзгадненні абароненага канала сувязі («tls-alpn-01»).
Дазволена выкарыстанне дырэктыў mod_md у блоках і .
Забяспечана замена мінулых налад пры паўторным выкарыстанні MDCAChallenges.
Дададзена магчымасць налады url для CTLog Monitor.
Для вызначаных у дырэктыве MDMessageCmd каманд забяспечаны выклік з аргументам "installed" пры актывацыі новага сертыфіката пасля перазапуску сервера (напрыклад, можна выкарыстоўваць для капіявання або пераўтварэнні новага сертыфіката для іншых прыкладанняў).
mod_proxy_hcheck дададзена падтрымка маскі %{Content-Type} у праверачных выразах.
У mod_usertrack дададзены рэжымы CookieSameSite, CookieHTTPOnly і CookieSecure для налады апрацоўкі Cookie usertrack.
У mod_proxy_ajp для проксі-апрацоўшчыкаў рэалізаваны параметр "secret" для падтрымкі састарэлага пратакола аўтэнтыфікацыі AJP13.
Дададзены набор канфігурацыі для OpenWRT.
У mod_ssl дададзеная падтрымка выкарыстання зачыненых ключоў і сертыфікатаў з OpenSSL ENGINE праз указанне URI PKCS#11 у SSLCertificateFile/KeyFile.
Рэалізавана тэсціраванне з выкарыстаннем сістэмы бесперапыннай інтэграцыі Travis CI.
Узмоцнены разбор загалоўкаў Transfer-Encoding.
У mod_ssl забяспечана ўзгадненне пратаколу TLS у прывязцы да віртуальных хастаў (падтрымліваецца пры зборцы з OpenSSL-1.1.1+.
За кошт ужывання хэшавання для табліц каманд паскораны перазапуск у рэжыме «graceful» (без абрыву выкананых апрацоўшчыкаў запытаў).
У mod_lua дададзеныя табліцы r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table і r:subprocess_env_table, даступныя ў рэжыме толькі для чытання. Дазволена прызначэнне табліц значэння «nil».
У mod_authn_socache са 100 да 256 павялічаны ліміт на памер кэшаванага радка.