CVE-2019-10081 je problem u mod_http2 koji može dovesti do oštećenja memorije pri slanju push zahtjeva u vrlo ranoj fazi. Kada koristite postavku "H2PushResource", moguće je prepisati memoriju u spremištu za obradu zahtjeva, ali problem je ograničen na pad jer podaci koji se zapisuju nisu zasnovani na informacijama primljenim od klijenta;
CVE-2019-9517 - nedavno izlaganje najavio DoS ranjivosti u HTTP/2 implementacijama.
Napadač može iscrpiti memoriju dostupnu procesu i stvoriti veliko opterećenje CPU-a otvaranjem kliznog HTTP/2 prozora za server za slanje podataka bez ograničenja, ali držeći TCP prozor zatvorenim, sprječavajući da se podaci stvarno upisuju u socket;
CVE-2019-10098 - problem u mod_rewrite, koji vam omogućava da koristite server za prosljeđivanje zahtjeva drugim resursima (otvoreno preusmjeravanje). Neke postavke mod_rewrite mogu dovesti do toga da korisnik bude proslijeđen na drugu vezu, kodiran pomoću znaka novog reda unutar parametra koji se koristi u postojećem preusmjeravanju. Da blokirate problem u RegexDefaultOptions, možete koristiti PCRE_DOTALL zastavicu, koja je sada postavljena po defaultu;
CVE-2019-10092 - mogućnost izvođenja cross-site skriptiranja na stranicama s greškama koje prikazuje mod_proxy. Na ovim stranicama, link sadrži URL dobijen iz zahtjeva, u koji napadač može umetnuti proizvoljni HTML kod kroz izbjegavanje znakova;
CVE-2019-10097 — prekoračenje steka i dereferenciranje NULL pokazivača u mod_remoteip, iskorištavano kroz manipulaciju zaglavljem PROXY protokola. Napad se može izvesti samo sa strane proxy servera koji se koristi u postavkama, a ne putem zahtjeva klijenta;
CVE-2019-10082 - ranjivost u mod_http2 koja omogućava da se u trenutku prekida veze pokrene čitanje sadržaja iz već oslobođene memorijske oblasti (read-after-free).
Najznačajnije promjene koje nisu vezane za sigurnost su:
mod_proxy_balancer je poboljšao zaštitu od XSS/XSRF napada od pouzdanih kolega;
SessionExpiryUpdateInterval postavka je dodana mod_session da se odredi interval za ažuriranje vremena isteka sesije/kolačića;
Stranice sa greškama su očišćene u cilju eliminisanja prikaza informacija sa zahteva na ovim stranicama;
mod_http2 uzima u obzir vrijednost parametra “LimitRequestFieldSize”, koji je ranije bio važeći samo za provjeru HTTP/1.1 polja zaglavlja;
Osigurava da je mod_proxy_hcheck konfiguracija kreirana kada se koristi u BalancerMember;
Smanjena potrošnja memorije u mod_davu kada se koristi naredba PROPFIND na velikoj kolekciji;
U mod_proxy i mod_ssl problemi sa specificiranjem certifikata i SSL postavki unutar proxy bloka su riješeni;
mod_proxy omogućava primjenu postavki SSLProxyCheckPeer* na sve proxy module;
Proširene mogućnosti modula mod_md, razvijen Let's Encrypt projekat za automatizaciju prijema i održavanja certifikata koristeći ACME (Automatic Certificate Management Environment) protokol:
Dodata druga verzija protokola ACMEv2, što je sada podrazumevano i koristi prazni POST zahtjevi umjesto GET.
Dodata podrška za verifikaciju zasnovanu na TLS-ALPN-01 ekstenziji (RFC 7301, Dogovaranje protokola sloja aplikacije), koja se koristi u HTTP/2.
Podrška za metodu verifikacije 'tls-sni-01' je ukinuta (zbog ranjivosti).
Dodane naredbe za postavljanje i probijanje provjere korištenjem 'dns-01' metode.
Dodata podrška maske u sertifikatima kada je verifikacija zasnovana na DNS-u omogućena ('dns-01').
Implementiran 'md-status' rukovalac i stranica statusa certifikata 'https://domain/.httpd/certificate-status'.
Dodane su "MDCertificateFile" i "MDCertificateKeyFile" direktive za konfiguriranje parametara domene putem statičkih datoteka (bez podrške za automatsko ažuriranje).
Dodata "MDMessageCmd" direktiva za pozivanje eksternih komandi kada se pojave događaji 'obnovljen', 'ističe' ili 'pogrešili'.
Dodata "MDWarnWindow" direktiva za konfiguriranje poruke upozorenja o isteku certifikata;