CVE-2019-10081 é un problema en mod_http2 que pode provocar a corrupción da memoria cando se envían solicitudes push nunha fase moi temperá. Cando se utiliza a configuración "H2PushResource", é posible sobrescribir a memoria no grupo de procesamento de solicitudes, pero o problema limítase a un fallo porque os datos que se escriben non se basean na información recibida do cliente;
CVE-2019-9517 - exposición recente anunciado Vulnerabilidades de DoS en implementacións HTTP/2.
Un atacante pode esgotar a memoria dispoñible para un proceso e crear unha gran carga de CPU abrindo unha xanela HTTP/2 deslizante para que o servidor envíe datos sen restricións, pero mantendo a xanela TCP pechada, evitando que os datos se escriban realmente no socket;
CVE-2019-10098 - un problema en mod_rewrite, que lle permite utilizar o servidor para reenviar solicitudes a outros recursos (redirección aberta). Algunhas opcións de configuración de mod_rewrite poden provocar que o usuario sexa reenviado a outra ligazón, codificada mediante un carácter de nova liña dentro dun parámetro utilizado nunha redirección existente. Para bloquear o problema en RegexDefaultOptions, pode usar a marca PCRE_DOTALL, que agora está configurada por defecto;
CVE-2019-10092 - a capacidade de realizar scripts entre sitios en páxinas de erro mostradas por mod_proxy. Nestas páxinas, a ligazón contén o URL obtido da solicitude, no que un atacante pode inserir código HTML arbitrario mediante escape de caracteres;
CVE-2019-10097 — Desbordamento de pila e desreferencia do punteiro NULL en mod_remoteip, explotados mediante a manipulación da cabeceira do protocolo PROXY. O ataque só se pode levar a cabo dende o lado do servidor proxy utilizado na configuración, e non a través dunha solicitude do cliente;
CVE-2019-10082 - unha vulnerabilidade en mod_http2 que permite, no momento da terminación da conexión, iniciar a lectura de contidos desde unha área de memoria xa liberada (read-after-free).
Os cambios non relacionados coa seguridade máis salientables son:
mod_proxy_balancer mellorou a protección contra ataques XSS/XSRF de pares de confianza;
Engadiuse unha configuración SessionExpiryUpdateInterval a mod_session para determinar o intervalo para actualizar o tempo de caducidade da sesión/cookie;
Limpáronse páxinas con erros, co obxectivo de eliminar a visualización de información das solicitudes destas páxinas;
mod_http2 ten en conta o valor do parámetro "LimitRequestFieldSize", que antes só era válido para comprobar os campos de cabeceira HTTP/1.1;
Asegura que a configuración mod_proxy_hcheck se crea cando se usa en BalancerMember;
Consumo de memoria reducido en mod_dav ao usar o comando PROPFIND nunha colección grande;
En mod_proxy e mod_ssl, resolvéronse os problemas coa especificación da configuración do certificado e SSL dentro do bloque Proxy;
mod_proxy permite que a configuración de SSLProxyCheckPeer* se aplique a todos os módulos proxy;
Ampliáronse as capacidades do módulo mod_md, desenvolvido Proxecto Let's Encrypt para automatizar a recepción e mantemento de certificados mediante o protocolo ACME (Automatic Certificate Management Environment):
Engadida a segunda versión do protocolo ACMEv2, que agora é o predeterminado e usos solicitudes POST baleiras en lugar de GET.
Engadiuse compatibilidade para a verificación baseada na extensión TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), que se usa en HTTP/2.
O soporte para o método de verificación "tls-sni-01" foi descontinuado (debido a vulnerabilidades).
Engadíronse comandos para configurar e romper a comprobación mediante o método 'dns-01'.
Soporte engadido máscaras nos certificados cando a verificación baseada en DNS está activada ('dns-01').
Implementáronse o controlador "md-status" e a páxina de estado do certificado "https://domain/.httpd/certificate-status".
Engadíronse as directivas "MDCertificateFile" e "MDCertificateKeyFile" para configurar os parámetros do dominio a través de ficheiros estáticos (sen soporte de actualización automática).
Engadiuse a directiva "MDMessageCmd" para chamar comandos externos cando se producen eventos de "renovación", "caducidade" ou "erro".
Engadiuse a directiva "MDWarnWindow" para configurar unha mensaxe de aviso sobre a caducidade do certificado;