CVE-2020-1927 : une vulnérabilité dans mod_rewrite qui permet d'utiliser le serveur pour transmettre des requêtes vers d'autres ressources (redirection ouverte). Certains paramètres de mod_rewrite peuvent entraîner le transfert de l'utilisateur vers un autre lien, codé à l'aide d'un caractère de nouvelle ligne dans un paramètre utilisé dans une redirection existante.
CVE-2020-1934 : vulnérabilité dans mod_proxy_ftp. L'utilisation de valeurs non initialisées peut entraîner des fuites de mémoire lors de la transmission de requêtes vers un serveur FTP contrôlé par un attaquant.
Fuite de mémoire dans mod_ssl qui se produit lors du chaînage des requêtes OCSP.
Les changements non liés à la sécurité les plus notables :
Nouveau module ajouté mod_systemd, qui assure l'intégration avec le gestionnaire système systemd. Le module permet d'utiliser httpd dans les services de type « Type=notify ».
La prise en charge de la compilation croisée a été ajoutée à apxs.
Les capacités du module mod_md, développé par le projet Let's Encrypt pour automatiser la réception et la maintenance des certificats à l'aide du protocole ACME (Automatic Certificate Management Environment), ont été étendues :
Ajout de la directive MDContactEmail, grâce à laquelle vous pouvez spécifier une adresse e-mail de contact qui ne chevauche pas les données de la directive ServerAdmin.
Pour tous les hôtes virtuels, la prise en charge du protocole utilisé lors de la négociation d'un canal de communication sécurisé (« tls-alpn-01 ») est vérifiée.
Autoriser l'utilisation des directives mod_md dans les blocs Et .
Garantit que les paramètres passés sont écrasés lors de la réutilisation de MDCAChallenges.
Ajout de la possibilité de configurer l'URL pour CTLog Monitor.
Pour les commandes définies dans la directive MDMessageCmd, un appel avec l'argument « installé » est fourni lors de l'activation d'un nouveau certificat après un redémarrage du serveur (il peut par exemple être utilisé pour copier ou convertir un nouveau certificat pour d'autres applications).
mod_proxy_hcheck a ajouté la prise en charge du masque %{Content-Type} dans les expressions de vérification.
Les modes CookieSameSite, CookieHTTPOnly et CookieSecure ont été ajoutés à mod_usertrack pour configurer le traitement des cookies usertrack.
mod_proxy_ajp implémente une option "secrète" pour les gestionnaires de proxy afin de prendre en charge l'ancien protocole d'authentification AJP13.
Ajout d'un jeu de configuration pour OpenWRT.
Ajout de la prise en charge de mod_ssl pour l'utilisation de clés privées et de certificats d'OpenSSL ENGINE en spécifiant l'URI PKCS#11 dans SSLCertificateFile/KeyFile.
Implémentation de tests à l'aide du système d'intégration continue Travis CI.
L’analyse des en-têtes Transfer-Encoding a été renforcée.
mod_ssl fournit la négociation du protocole TLS en relation avec les hôtes virtuels (pris en charge lors de la construction avec OpenSSL-1.1.1+.
En utilisant le hachage pour les tables de commandes, les redémarrages en mode « progressif » sont accélérés (sans interrompre les processeurs de requêtes en cours d’exécution).
Ajout des tables en lecture seule r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table et r:subprocess_env_table à mod_lua. Autoriser l'attribution de la valeur "nil" aux tables.
Dans mod_authn_socache, la limite de taille d'une ligne mise en cache a été augmentée de 100 à 256.