CVE-2019-10081 er et problem i mod_http2, der kan føre til hukommelseskorruption, når du sender push-anmodninger på et meget tidligt tidspunkt. Når du bruger "H2PushResource"-indstillingen, er det muligt at overskrive hukommelsen i anmodningsbehandlingspuljen, men problemet er begrænset til et nedbrud, fordi de data, der skrives, ikke er baseret på information modtaget fra klienten;
CVE-2019-9517 - nylig eksponering annonceret DoS-sårbarheder i HTTP/2-implementeringer.
En angriber kan udtømme den tilgængelige hukommelse for en proces og skabe en stor CPU-belastning ved at åbne et glidende HTTP/2-vindue, så serveren kan sende data uden begrænsninger, men holde TCP-vinduet lukket, hvilket forhindrer, at data rent faktisk bliver skrevet til socket;
CVE-2019-10098 - et problem i mod_rewrite, som giver dig mulighed for at bruge serveren til at videresende anmodninger til andre ressourcer (åben omdirigering). Nogle mod_rewrite-indstillinger kan resultere i, at brugeren videresendes til et andet link, kodet med et nylinjetegn i en parameter, der bruges i en eksisterende omdirigering. For at blokere problemet i RegexDefaultOptions kan du bruge PCRE_DOTALL-flaget, som nu er indstillet som standard;
CVE-2019-10092 - evnen til at udføre cross-site scripting på fejlsider, der vises af mod_proxy. På disse sider indeholder linket den URL, der er hentet fra anmodningen, hvori en angriber kan indsætte vilkårlig HTML-kode gennem tegn-escape;
CVE-2019-10097 — stak overløb og NULL pointer dereference i mod_remoteip, udnyttet gennem manipulation af PROXY protokol header. Angrebet kan kun udføres fra siden af proxyserveren, der bruges i indstillingerne, og ikke gennem en klientanmodning;
CVE-2019-10082 - en sårbarhed i mod_http2, der tillader, på tidspunktet for forbindelsesafbrydelsen, at starte læsning af indhold fra et allerede frigivet hukommelsesområde (læs-efter-fri).
De mest bemærkelsesværdige ikke-sikkerhedsmæssige ændringer er:
mod_proxy_balancer har forbedret beskyttelse mod XSS/XSRF-angreb fra betroede peers;
En SessionExpiryUpdateInterval-indstilling er blevet tilføjet til mod_session for at bestemme intervallet for opdatering af sessionen/cookiens udløbstid;
Sider med fejl blev renset med det formål at eliminere visning af oplysninger fra anmodninger på disse sider;
mod_http2 tager højde for værdien af parameteren "LimitRequestFieldSize", som tidligere kun var gyldig til kontrol af HTTP/1.1-headerfelter;
Sikrer, at mod_proxy_hcheck-konfigurationen oprettes, når den bruges i BalancerMember;
Reduceret hukommelsesforbrug i mod_dav ved brug af PROPFIND-kommandoen på en stor samling;
I mod_proxy og mod_ssl er problemer med at specificere certifikat- og SSL-indstillinger inde i Proxy-blokken blevet løst;
mod_proxy tillader, at SSLProxyCheckPeer*-indstillinger anvendes på alle proxy-moduler;
Modulets muligheder udvidet mod_md, udviklede sig Lad os kryptere projektet for at automatisere modtagelse og vedligeholdelse af certifikater ved hjælp af ACME (Automatic Certificate Management Environment) protokollen:
Tilføjet anden version af protokollen ACMEv2, som nu er standard og bruger tomme POST-anmodninger i stedet for GET.
Tilføjet understøttelse af verifikation baseret på TLS-ALPN-01-udvidelsen (RFC 7301, Application-Layer Protocol Negotiation), som bruges i HTTP/2.
Understøttelse af 'tls-sni-01'-verifikationsmetoden er afbrudt (pga sårbarheder).
Tilføjede kommandoer til opsætning og brydning af kontrollen ved hjælp af 'dns-01'-metoden.
Tilføjet support masker i certifikater, når DNS-baseret verifikation er aktiveret ('dns-01').
Implementeret 'md-status'-handler og certifikatstatusside 'https://domain/.httpd/certificate-status'.
Tilføjet "MDCertificateFile" og "MDCertificateKeyFile" direktiver til konfiguration af domæneparametre gennem statiske filer (uden understøttelse af automatisk opdatering).
Tilføjet "MDMessageCmd"-direktiv for at kalde eksterne kommandoer, når 'fornyede', 'udløber' eller 'fejlbehæftede' hændelser opstår.
Tilføjet "MDWarnWindow"-direktiv for at konfigurere en advarselsmeddelelse om certifikatudløb;