CVE-2019 10081, je problém v mod_http2, ktorý môže viesť k poškodeniu pamäte pri odosielaní požiadaviek push vo veľmi skorom štádiu. Pri použití nastavenia "H2PushResource" je možné prepísať pamäť v oblasti spracovania požiadaviek, ale problém je obmedzený na zlyhanie, pretože zapisované údaje nie sú založené na informáciách prijatých od klienta;
CVE-2019 9517, - nedávna expozícia oznámil Zraniteľnosť DoS v implementáciách HTTP/2.
Útočník môže vyčerpať pamäť dostupnú pre proces a spôsobiť veľké zaťaženie procesora otvorením posuvného okna HTTP/2 pre server, aby mohol odosielať dáta bez obmedzení, ale ponechaním okna TCP zatvorené, čím zabráni tomu, aby sa dáta skutočne zapisovali do soketu;
CVE-2019 10098, - problém v mod_rewrite, ktorý vám umožňuje použiť server na preposielanie požiadaviek iným zdrojom (otvorené presmerovanie). Niektoré nastavenia mod_rewrite môžu viesť k tomu, že používateľ bude presmerovaný na iný odkaz, zakódovaný pomocou znaku nového riadku v rámci parametra použitého v existujúcom presmerovaní. Na zablokovanie problému v RegexDefaultOptions môžete použiť príznak PCRE_DOTALL, ktorý je teraz štandardne nastavený;
CVE-2019 10092, - schopnosť vykonávať cross-site skriptovanie na chybových stránkach zobrazených mod_proxy. Na týchto stránkach obsahuje odkaz URL adresu získanú z požiadavky, do ktorej môže útočník vložiť ľubovoľný HTML kód pomocou escapovania znakov;
CVE-2019 10097, — pretečenie zásobníka a dereferencia ukazovateľa NULL v mod_remoteip, využívaná manipuláciou s hlavičkou protokolu PROXY. Útok je možné vykonať iba zo strany proxy servera použitého v nastaveniach a nie prostredníctvom požiadavky klienta;
CVE-2019 10082, - zraniteľnosť v mod_http2, ktorá umožňuje v momente ukončenia spojenia spustiť čítanie obsahu z už uvoľnenej oblasti pamäte (read-after-free).
Najvýznamnejšie zmeny nesúvisiace so zabezpečením:
mod_proxy_balancer zlepšil ochranu pred útokmi XSS/XSRF od dôveryhodných kolegov;
Do mod_session bolo pridané nastavenie SessionExpiryUpdateInterval na určenie intervalu aktualizácie času uplynutia platnosti relácie/cookie;
Stránky s chybami boli vyčistené s cieľom eliminovať zobrazovanie informácií z požiadaviek na týchto stránkach;
mod_http2 berie do úvahy hodnotu parametra „LimitRequestFieldSize“, ktorý bol predtým platný len na kontrolu polí hlavičky HTTP/1.1;
Zabezpečuje, že pri použití v BalancerMember sa vytvorí konfigurácia mod_proxy_hcheck;
Znížená spotreba pamäte v mod_dav pri použití príkazu PROPFIND na veľkej kolekcii;
V mod_proxy a mod_ssl boli vyriešené problémy so špecifikovaním nastavení certifikátu a SSL v bloku Proxy;
mod_proxy umožňuje použiť nastavenia SSLProxyCheckPeer* na všetky moduly proxy;
Rozšírené možnosti modulu mod_md, vyvinuté Projekt Let's Encrypt na automatizáciu prijímania a údržby certifikátov pomocou protokolu ACME (Automatic Certificate Management Environment):
Pridaná druhá verzia protokolu ACMEv2, ktorá je teraz predvolená a používa prázdne požiadavky POST namiesto GET.
Pridaná podpora overovania na základe rozšírenia TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), ktoré sa používa v HTTP/2.
Podpora overovacej metódy „tls-sni-01“ bola ukončená (z dôvodu zraniteľnosti).
Pridané príkazy na nastavenie a prerušenie kontroly pomocou metódy 'dns-01'.
Pridaná podpora masky v certifikátoch, keď je povolené overovanie založené na DNS ('dns-01').
Implementovaný obslužný program „md-status“ a stránka stavu certifikátu „https://domain/.httpd/certificate-status“.
Pridané smernice "MDCertificateFile" a "MDCertificateKeyFile" na konfiguráciu parametrov domény prostredníctvom statických súborov (bez podpory automatických aktualizácií).
Pridaná direktíva „MDMessageCmd“ na volanie externých príkazov, keď nastanú udalosti „obnovenia“, „vypršania platnosti“ alebo „chyby“.
Pridaná direktíva "MDWarnWindow" na konfiguráciu varovnej správy o vypršaní platnosti certifikátu;