CVE-2020-11984 — puskurin ylivuoto mod_proxy_uwsgi-moduulissa, joka voi johtaa tietovuotoon tai koodin suorittamiseen palvelimella lähetettäessä erityisesti muodostettua pyyntöä. Haavoittuvuutta hyödynnetään lähettämällä erittäin pitkä HTTP-otsikko. Suojauksen vuoksi on lisätty yli 16 kt:n pituisten otsikoiden esto (protokollaspesifikaatiossa määritetty raja).
CVE-2020-11993 — mod_http2-moduulin haavoittuvuus, joka mahdollistaa prosessin kaatumisen, kun pyyntö lähetetään erityisesti suunnitellulla HTTP/2-otsikolla. Ongelma ilmenee, kun virheenkorjaus tai jäljitys on käytössä mod_http2-moduulissa ja johtaa muistin vioittumiseen kilpailutilanteen vuoksi tallennettaessa tietoja lokiin. Ongelma ei ilmene, kun LogLevel-asetuksena on "info".
CVE-2020-9490 — mod_http2-moduulin haavoittuvuus, joka mahdollistaa prosessin kaatumisen, kun pyyntö lähetetään HTTP/2:n kautta erityisesti suunnitellulla Cache-Digest-otsikkoarvolla (kaatumis tapahtuu, kun resurssille yritetään suorittaa HTTP/2 PUSH -toimintoa) . Voit estää haavoittuvuuden käyttämällä "H2Push off" -asetusta.
CVE-2020-11985 — mod_remoteip-haavoittuvuus, jonka avulla voit huijata IP-osoitteita välityspalvelimen käytön aikana käyttämällä mod_remoteip- ja mod_rewrite-toimintoja. Ongelma ilmenee vain julkaisuissa 2.4.1–2.4.23.
Merkittävimmät ei-turvallisuuteen liittyvät muutokset:
Tuki luonnosmäärittelylle on poistettu mod_http2:sta kazuho-h2-cache-digest, jonka mainostaminen on keskeytetty.
Muuttui "LimitRequestFields"-direktiivin käyttäytymiseen mod_http2:ssa arvon 0 määrittäminen poistaa nyt rajan.
mod_http2 tarjoaa ensisijaisen ja toissijaisen (isäntä/toissijainen) yhteyksien käsittelyn ja menetelmien merkitsemisen käytön mukaan.
Jos FCGI/CGI-komentosarjasta vastaanotetaan virheellinen Last-Modified -otsikon sisältö, tämä otsikko poistetaan nyt sen sijaan, että se korvataan Unix-aikakauden aikana.
Ap_parse_strict_length()-funktio on lisätty koodiin sisällön koon jäsentämiseksi.
Mod_proxy_fcgi:n ProxyFCGISetEnvIf varmistaa, että ympäristömuuttujat poistetaan, jos annettu lauseke palauttaa False.
Korjattu kilpailutilanne ja mahdollinen mod_ssl-kaatumis, kun käytettiin SSLProxyMachineCertificateFile-asetuksen kautta määritettyä asiakasvarmennetta.
Korjattu muistivuoto mod_ssl:ssä.
mod_proxy_http2 tarjoaa välityspalvelinparametrin "ping» kun tarkistetaan uuden tai uudelleen käytetyn taustayhteyden toimivuus.
Lopetettu httpd:n sitominen "-lsystemd"-vaihtoehdolla, kun mod_systemd on käytössä.
mod_proxy_http2 varmistaa, että ProxyTimeout-asetus otetaan huomioon odotettaessa saapuvaa dataa yhteyksien kautta taustajärjestelmään.