CVE-2019-10081 היא בעיה ב-mod_http2 שעלולה להוביל לפגיעה בזיכרון בעת שליחת בקשות דחיפה בשלב מוקדם מאוד. בעת שימוש בהגדרה "H2PushResource", ניתן להחליף זיכרון במאגר עיבוד הבקשות, אך הבעיה מוגבלת לקריסה מכיוון שהנתונים הנכתבים אינם מבוססים על מידע שהתקבל מהלקוח;
CVE-2019-9517 - חשיפה אחרונה הכריז פגיעויות DoS בהטמעות HTTP/2.
תוקף יכול למצות את הזיכרון הזמין לתהליך וליצור עומס מעבד כבד על ידי פתיחת חלון HTTP/2 הזזה לשרת כדי לשלוח נתונים ללא הגבלות, אך שמירה על חלון ה-TCP סגור, ולמנוע כתיבה של נתונים בפועל לשקע;
CVE-2019-10098 - בעיה ב-mod_rewrite, המאפשרת לך להשתמש בשרת כדי להעביר בקשות למשאבים אחרים (הפניה פתוחה). הגדרות mod_rewrite מסוימות עשויות לגרום לכך שהמשתמש יועבר לקישור אחר, המקודד באמצעות תו חדש בתוך פרמטר המשמש בהפניה קיימת. כדי לחסום את הבעיה ב-RegexDefaultOptions, אתה יכול להשתמש בדגל PCRE_DOTALL, שמוגדר כעת כברירת מחדל;
CVE-2019-10092 - היכולת לבצע סקריפטים בין אתרים בדפי שגיאה המוצגים על ידי mod_proxy. בדפים אלו, הקישור מכיל את כתובת ה-URL שהתקבלה מהבקשה, בה תוקף יכול להכניס קוד HTML שרירותי באמצעות בריחת תווים;
CVE-2019-10097 - הצפת מחסנית והפניית מצביע NULL ב-mod_remoteip, מנוצלת באמצעות מניפולציה של כותרת פרוטוקול PROXY. ההתקפה יכולה להתבצע רק מהצד של שרת ה-proxy המשמש בהגדרות, ולא באמצעות בקשת לקוח;
CVE-2019-10082 - נקודת תורפה ב-mod_http2 המאפשרת, ברגע סיום החיבור, ליזום קריאת תכנים מאזור זיכרון משוחרר כבר (read-after-free).
השינויים הבולטים שאינם ביטחוניים הם:
mod_proxy_balancer שיפר הגנה מפני התקפות XSS/XSRF מעמיתים מהימנים;
הגדרת SessionExpiryUpdateInterval נוספה ל-mod_session כדי לקבוע את המרווח לעדכון זמן התפוגה של ההפעלה/עוגייה;
נוקו דפים עם שגיאות, שמטרתם למנוע הצגת מידע מבקשות בדפים אלה;
mod_http2 לוקח בחשבון את הערך של הפרמטר "LimitRequestFieldSize", שבעבר היה תקף רק לבדיקת שדות כותרת HTTP/1.1;
מבטיח שתצורת mod_proxy_hcheck נוצרת בעת שימוש ב-BalancerMember;
צריכת זיכרון מופחתת ב-mod_dav בעת שימוש בפקודה PROPFIND באוסף גדול;
ב-mod_proxy ו-mod_ssl, בעיות עם ציון הגדרות אישור ו-SSL בתוך בלוק Proxy נפתרו;
mod_proxy מאפשר להחיל את הגדרות SSLProxyCheckPeer* על כל מודולי ה-proxy;
יכולות המודול הורחבו mod_md, מפותח בואו להצפין פרויקט לאוטומציה של קבלה ותחזוקה של אישורים באמצעות פרוטוקול ACME (סביבה אוטומטית לניהול תעודות):
נוספה גרסה שנייה של הפרוטוקול ACMEv2, שהוא כעת ברירת המחדל ו использует בקשות POST ריקות במקום GET.
נוספה תמיכה לאימות המבוססת על סיומת TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), המשמשת ב-HTTP/2.
התמיכה בשיטת האימות 'tls-sni-01' הופסקה (בשל פגיעות).
נוספו פקודות להגדרה ושבירת הסימון בשיטת 'dns-01'.
נוספה תמיכה מסכות באישורים כאשר אימות מבוסס DNS מופעל ('dns-01').