CVE-2020-1927: unha vulnerabilidade en mod_rewrite que permite utilizar o servidor para reenviar solicitudes a outros recursos (redirección aberta). Algunhas opcións de configuración de mod_rewrite poden provocar que o usuario sexa reenviado a outra ligazón, codificada mediante un carácter de nova liña dentro dun parámetro utilizado nunha redirección existente.
CVE-2020-1934: vulnerabilidade en mod_proxy_ftp. O uso de valores non inicializados pode provocar fugas de memoria ao enviar solicitudes de proxy a un servidor FTP controlado polo atacante.
Fuga de memoria en mod_ssl que se produce ao encadear solicitudes OCSP.
Os cambios non relacionados coa seguridade máis salientables son:
Engadiuse un novo módulo mod_systemd, que proporciona integración co xestor do sistema systemd. O módulo permítelle utilizar httpd en servizos co tipo "Tipo=notificar".
Engadiuse soporte de compilación cruzada a apxs.
Ampliáronse as capacidades do módulo mod_md, desenvolvido polo proxecto Let's Encrypt para automatizar a recepción e mantemento de certificados mediante o protocolo ACME (Automatic Certificate Management Environment):
Engadida a directiva MDContactEmail, mediante a cal pode especificar un correo electrónico de contacto que non se solape cos datos da directiva ServerAdmin.
Para todos os anfitrións virtuais, verifícase a compatibilidade co protocolo utilizado cando se negocia unha canle de comunicación segura ("tls-alpn-01").
Permitir que as directivas mod_md se utilicen en bloques E .
Asegura que a configuración anterior se sobrescriba ao reutilizar MDCChallenges.
Engadida a posibilidade de configurar o URL para o monitor CTLog.
Para os comandos definidos na directiva MDMessageCmd, ofrécese unha chamada co argumento "instalado" ao activar un novo certificado despois de reiniciar o servidor (por exemplo, pódese usar para copiar ou converter un novo certificado para outras aplicacións).
mod_proxy_hcheck engadiu soporte para a máscara %{Content-Type} nas expresións de verificación.
Engadíronse os modos CookieSameSite, CookieHTTPOnly e CookieSecure a mod_usertrack para configurar o procesamento de cookies de usertrack.
mod_proxy_ajp implementa unha opción "segreda" para que os controladores de proxy admitan o protocolo de autenticación AJP13 herdado.
Engadido conxunto de configuración para OpenWRT.
Engadiuse compatibilidade con mod_ssl para usar claves privadas e certificados de OpenSSL ENGINE especificando o URI PKCS#11 en SSLCertificateFile/KeyFile.
Realización de probas mediante o sistema de integración continua Travis CI.
Reforzouse a análise das cabeceiras de codificación de transferencia.
mod_ssl proporciona negociación do protocolo TLS en relación con hosts virtuais (compatible cando se crea con OpenSSL-1.1.1+.
Ao usar o hash para as táboas de comandos, os reinicios en modo "gracioso" son acelerados (sen interromper os procesadores de consulta en execución).
Engadíronse táboas de só lectura r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table e r:subprocess_env_table a mod_lua. Permitir que as táboas teñan o valor "nil".
En mod_authn_socache aumentouse o límite do tamaño dunha liña almacenada na caché de 100 a 256.