CVE-2019-10081 ay isang isyu sa mod_http2 na maaaring humantong sa pagkasira ng memorya kapag nagpapadala ng mga kahilingan sa push sa isang napakaagang yugto. Kapag ginagamit ang setting na "H2PushResource", posibleng i-overwrite ang memorya sa pool processing ng kahilingan, ngunit ang problema ay limitado sa isang pag-crash dahil ang data na isinusulat ay hindi batay sa impormasyong natanggap mula sa kliyente;
CVE-2019-9517 - kamakailang pagkakalantad inihayag Mga kahinaan ng DoS sa mga pagpapatupad ng HTTP/2.
Maaaring ubusin ng isang attacker ang memorya na magagamit sa isang proseso at lumikha ng mabigat na pag-load ng CPU sa pamamagitan ng pagbubukas ng sliding HTTP/2 window para sa server na magpadala ng data nang walang mga paghihigpit, ngunit pinananatiling nakasara ang TCP window, na pumipigil sa data na aktwal na maisulat sa socket;
CVE-2019-10098 - isang problema sa mod_rewrite, na nagpapahintulot sa iyo na gamitin ang server upang ipasa ang mga kahilingan sa iba pang mapagkukunan (bukas na pag-redirect). Ang ilang mod_rewrite na mga setting ay maaaring magresulta sa pagpapasa ng user sa isa pang link, na naka-encode gamit ang isang newline na character sa loob ng isang parameter na ginamit sa isang umiiral na pag-redirect. Upang harangan ang problema sa RegexDefaultOptions, maaari mong gamitin ang watawat ng PCRE_DOTALL, na nakatakda na ngayon bilang default;
CVE-2019-10092 - ang kakayahang magsagawa ng cross-site scripting sa mga pahina ng error na ipinapakita ng mod_proxy. Sa mga page na ito, naglalaman ang link ng URL na nakuha mula sa kahilingan, kung saan maaaring magpasok ng arbitrary HTML code ang isang attacker sa pamamagitan ng pag-eskapo ng character;
CVE-2019-10097 β stack overflow at NULL pointer dereference sa mod_remoteip, pinagsamantalahan sa pamamagitan ng pagmamanipula ng PROXY protocol header. Ang pag-atake ay maaari lamang isagawa mula sa gilid ng proxy server na ginamit sa mga setting, at hindi sa pamamagitan ng kahilingan ng kliyente;
CVE-2019-10082 - isang kahinaan sa mod_http2 na nagbibigay-daan, sa sandali ng pagwawakas ng koneksyon, upang simulan ang pagbabasa ng mga nilalaman mula sa isang nakalaya na lugar ng memorya (read-after-free).
Ang pinaka-kapansin-pansing mga pagbabagong hindi pangseguridad ay:
Pinahusay ng mod_proxy_balancer ang proteksyon laban sa mga pag-atake ng XSS/XSRF mula sa mga pinagkakatiwalaang kasamahan;
Ang isang setting ng SessionExpiryUpdateInterval ay idinagdag sa mod_session upang matukoy ang agwat para sa pag-update ng oras ng pag-expire ng session/cookie;
Ang mga pahina na may mga error ay nalinis, na naglalayong alisin ang pagpapakita ng impormasyon mula sa mga kahilingan sa mga pahinang ito;
Isinasaalang-alang ng mod_http2 ang halaga ng parameter na "LimitRequestFieldSize", na dati ay wasto lamang para sa pagsuri sa mga field ng header ng HTTP/1.1;
Tinitiyak na ang pagsasaayos ng mod_proxy_hcheck ay nilikha kapag ginamit sa BalancerMember;
Nabawasan ang pagkonsumo ng memorya sa mod_dav kapag ginagamit ang utos ng PROPFIND sa isang malaking koleksyon;
Sa mod_proxy at mod_ssl, nalutas ang mga problema sa pagtukoy sa mga setting ng certificate at SSL sa loob ng Proxy block;
Ang mod_proxy ay nagpapahintulot sa SSLProxyCheckPeer* na mga setting na mailapat sa lahat ng mga proxy module;
Pinalawak ang mga kakayahan ng module mod_md, umunlad Let's Encrypt project para i-automate ang pagtanggap at pagpapanatili ng mga certificate gamit ang ACME (Automatic Certificate Management Environment) protocol:
Idinagdag ang pangalawang bersyon ng protocol ACMEv2, na ngayon ay ang default at gumagamit walang laman ang mga kahilingan sa POST sa halip na GET.
Nagdagdag ng suporta para sa pag-verify batay sa extension ng TLS-ALPN-01 (RFC 7301, Application-Layer Protocol Negotiation), na ginagamit sa HTTP/2.
Ang suporta para sa paraan ng pag-verify na 'tls-sni-01' ay hindi na ipinagpatuloy (dahil sa mga kahinaan).
Nagdagdag ng mga utos para sa pag-set up at pagsira sa tseke gamit ang 'dns-01' na paraan.
Nagdagdag ng suporta maskara sa mga certificate kapag pinagana ang DNS-based na pag-verify ('dns-01').
Ipinatupad ang 'md-status' handler at page ng status ng certificate na 'https://domain/.httpd/certificate-status'.
Idinagdag ang "MDCertificateFile" at "MDCertificateKeyFile" na mga direktiba para sa pag-configure ng mga parameter ng domain sa pamamagitan ng mga static na file (nang walang suporta sa auto-update).
Idinagdag ang direktiba ng "MDMessageCmd" upang tumawag sa mga panlabas na utos kapag naganap ang mga kaganapang 'na-renew', 'mag-e-expire' o 'na-error'.
Idinagdag ang direktiba ng "MDWarnWindow" upang i-configure ang isang mensahe ng babala tungkol sa pag-expire ng certificate;