CVE-2020-1927: luka w mod_rewrite, która umożliwia wykorzystanie serwera do przekazywania żądań do innych zasobów (otwarte przekierowanie). Niektóre ustawienia mod_rewrite mogą powodować przekierowanie użytkownika do innego linku, zakodowanego przy użyciu znaku nowej linii w parametrze używanym w istniejącym przekierowaniu.
CVE-2020-1934: luka w zabezpieczeniach mod_proxy_ftp. Używanie niezainicjowanych wartości może prowadzić do wycieków pamięci podczas przesyłania żądań proxy do kontrolowanego przez osobę atakującą serwera FTP.
Wyciek pamięci w mod_ssl występujący podczas łączenia żądań OCSP.
Najbardziej zauważalne zmiany niezwiązane z bezpieczeństwem:
Dodano nowy moduł mod_systemd, który zapewnia integrację z menedżerem systemu systemowego. Moduł umożliwia wykorzystanie httpd w usługach typu „Type=notify”.
Do apxs dodano obsługę kompilacji krzyżowej.
Rozszerzono możliwości modułu mod_md, opracowanego w ramach projektu Let's Encrypt w celu automatyzacji odbioru i obsługi certyfikatów z wykorzystaniem protokołu ACME (Automatic Certyfikat Management Environment):
Dodano dyrektywę MDContactEmail, dzięki której można określić kontaktowy adres e-mail, który nie pokrywa się z danymi z dyrektywy ServerAdmin.
Dla wszystkich wirtualnych hostów sprawdzana jest obsługa protokołu używanego podczas negocjacji bezpiecznego kanału komunikacji („tls-alpn-01”).
Zezwalaj na używanie dyrektyw mod_md w blokach I .
Zapewnia zastąpienie poprzednich ustawień przy ponownym użyciu MDCAChallenges.
Dodano możliwość skonfigurowania adresu URL dla monitora CTLog.
W przypadku poleceń zdefiniowanych w dyrektywie MDMessageCmd, przy aktywacji nowego certyfikatu po restarcie serwera następuje wywołanie z argumentem „zainstalowany” (można go na przykład wykorzystać do skopiowania lub konwersji nowego certyfikatu dla innych aplikacji).
mod_proxy_hcheck dodał obsługę maski %{Content-Type} w wyrażeniach kontrolnych.
Do mod_usertrack dodano tryby CookieSameSite, CookieHTTPOnly i CookieSecure w celu skonfigurowania przetwarzania plików cookie śledzenia użytkownika.
mod_proxy_ajp implementuje „tajną” opcję dla procedur obsługi proxy w celu obsługi starszego protokołu uwierzytelniania AJP13.
Dodano zestaw konfiguracyjny dla OpenWRT.
Dodano obsługę mod_ssl w zakresie używania kluczy prywatnych i certyfikatów z OpenSSL ENGINE poprzez określenie identyfikatora URI PKCS#11 w pliku SSLCertificateFile/KeyFile.
Wdrożone testy z wykorzystaniem systemu ciągłej integracji Travis CI.
Udoskonalono analizę nagłówków Transfer-Encoding.
mod_ssl zapewnia negocjację protokołu TLS w odniesieniu do hostów wirtualnych (obsługiwane w przypadku kompilacji z OpenSSL-1.1.1+.
Użycie funkcji mieszania dla tabel poleceń przyspiesza ponowne uruchamianie w trybie „płynnym” (bez zakłócania działania procesorów zapytań).
Dodano tabele tylko do odczytu r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table i r:subprocess_env_table do mod_lua. Zezwalaj na przypisywanie tabelom wartości „nil”.
W mod_authn_socache limit rozmiaru linii buforowanej został zwiększony ze 100 do 256.