CVE-2020-1927: chyba zabezpečenia v mod_rewrite, ktorá umožňuje serveru použiť na preposielanie požiadaviek iným zdrojom (otvorené presmerovanie). Niektoré nastavenia mod_rewrite môžu viesť k tomu, že používateľ bude presmerovaný na iný odkaz, zakódovaný pomocou znaku nového riadku v rámci parametra použitého v existujúcom presmerovaní.
CVE-2020-1934: zraniteľnosť v mod_proxy_ftp. Používanie neinicializovaných hodnôt môže viesť k úniku pamäte pri odosielaní požiadaviek na server FTP kontrolovaný útočníkom.
Únik pamäte v mod_ssl, ku ktorému dochádza pri reťazení požiadaviek OCSP.
Najvýznamnejšie zmeny nesúvisiace so zabezpečením:
Pridaný nový modul mod_systemd, ktorý poskytuje integráciu so správcom systému systemd. Modul vám umožňuje používať httpd v službách typu „Typ=notify“.
Do apxs bola pridaná podpora krížovej kompilácie.
Možnosti modulu mod_md vyvinutého v rámci projektu Let's Encrypt na automatizáciu príjmu a údržby certifikátov pomocou protokolu ACME (Automatic Certificate Management Environment) boli rozšírené:
Pridaná direktíva MDContactEmail, prostredníctvom ktorej môžete zadať kontaktný e-mail, ktorý sa neprekrýva s údajmi z direktívy ServerAdmin.
Pre všetkých virtuálnych hostiteľov je overená podpora protokolu používaného pri vyjednávaní zabezpečeného komunikačného kanála („tls-alpn-01“).
Povoliť použitie direktív mod_md v blokoch A .
Zabezpečuje, že minulé nastavenia budú prepísané pri opätovnom použití MDCAChallenges.
Pridaná možnosť konfigurovať adresu URL pre CTLog Monitor.
Pre príkazy definované v direktíve MDMessageCmd sa pri aktivácii nového certifikátu po reštarte servera poskytuje volanie s argumentom „installed“ (môže sa napríklad použiť na kopírovanie alebo konverziu nového certifikátu pre iné aplikácie).
mod_proxy_hcheck pridal podporu pre masku %{Content-Type} v kontrolných výrazoch.
Režimy CookieSameSite, CookieHTTPOnly a CookieSecure boli pridané do mod_usertrack na konfiguráciu spracovania súborov cookie usertrack.
mod_proxy_ajp implementuje „tajnú“ možnosť pre obsluhu proxy na podporu staršieho overovacieho protokolu AJP13.
Pridaná konfiguračná sada pre OpenWRT.
Do mod_ssl bola pridaná podpora pre používanie súkromných kľúčov a certifikátov z OpenSSL ENGINE zadaním PKCS#11 URI v SSLCertificateFile/KeyFile.
Implementované testovanie pomocou kontinuálneho integračného systému Travis CI.
Analýza hlavičiek Transfer-Encoding bola sprísnená.
mod_ssl poskytuje vyjednávanie protokolu TLS vo vzťahu k virtuálnym hostiteľom (podporované pri zostavení s OpenSSL-1.1.1+.
Použitím hašovania pre tabuľky príkazov sa zrýchli reštarty v „ladnom“ režime (bez prerušenia spustených procesorov dotazov).
Do mod_lua boli pridané tabuľky len na čítanie r:headers_in_table, r:headers_out_table, r:err_headers_out_table, r:notes_table a r:subprocess_env_table. Povoliť tabuľkám priradiť hodnotu „nula“.
V mod_authn_socache sa limit veľkosti riadku vo vyrovnávacej pamäti zvýšil zo 100 na 256.