CVE-2020-1927: vulnerabilidade no mod_rewrite que permite que o servidor seja usado para encaminhar solicitações para outros recursos (redirecionamento aberto). Algumas configurações do mod_rewrite podem fazer com que o usuário seja encaminhado para outro link, codificado usando um caractere de nova linha dentro de um parâmetro usado em um redirecionamento existente.
CVE-2020-1934: vulnerabilidade em mod_proxy_ftp. O uso de valores não inicializados pode levar a vazamentos de memória ao fazer proxy de solicitações para um servidor FTP controlado por um invasor.
Vazamento de memória em mod_ssl que ocorre ao encadear solicitações OCSP.
As alterações não relacionadas à segurança mais notáveis são:
Novo módulo adicionado mod_systemd, que fornece integração com o gerenciador de sistema systemd. O módulo permite usar httpd em serviços do tipo “Type=notify”.
O suporte para compilação cruzada foi adicionado ao apxs.
As capacidades do módulo mod_md, desenvolvido pelo projeto Let's Encrypt para automatizar o recebimento e manutenção de certificados usando o protocolo ACME (Automatic Certificate Management Environment), foram ampliadas:
Adicionada a diretiva MDContactEmail, por meio da qual você pode especificar um email de contato que não se sobreponha aos dados da diretiva ServerAdmin.
Para todos os hosts virtuais é verificado o suporte ao protocolo utilizado na negociação de um canal de comunicação seguro (“tls-alpn-01”).
Permitir que diretivas mod_md sejam usadas em blocos E .
Garante que as configurações anteriores sejam substituídas ao reutilizar MDCAChallenges.
Adicionada a capacidade de configurar a URL do CTLog Monitor.
Para comandos definidos na diretiva MDMessageCmd, uma chamada com o argumento “instalado” é fornecida ao ativar um novo certificado após a reinicialização do servidor (por exemplo, pode ser usada para copiar ou converter um novo certificado para outras aplicações).
mod_proxy_hcheck adicionou suporte para a máscara %{Content-Type} em expressões de verificação.
Os modos CookieSameSite, CookieHTTPOnly e CookieSecure foram adicionados ao mod_usertrack para configurar o processamento de cookies do usertrack.
mod_proxy_ajp implementa uma opção "secreta" para manipuladores de proxy para suportar o protocolo de autenticação AJP13 legado.
Adicionado conjunto de configurações para OpenWRT.
Adicionado suporte ao mod_ssl para usar chaves privadas e certificados do OpenSSL ENGINE especificando o URI PKCS#11 em SSLCertificateFile/KeyFile.
Implementei testes utilizando o sistema de integração contínua Travis CI.
A análise dos cabeçalhos Transfer-Encoding foi reforçada.
mod_ssl fornece negociação de protocolo TLS em relação a hosts virtuais (suportado quando construído com OpenSSL-1.1.1+.
Ao usar hashing para tabelas de comando, as reinicializações no modo “normal” são aceleradas (sem interromper a execução dos processadores de consulta).
Adicionadas tabelas somente leitura r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table e r:subprocess_env_table ao mod_lua. Permitir que as tabelas recebam o valor "nil".
No mod_authn_socache o limite do tamanho de uma linha em cache foi aumentado de 100 para 256.