ASA-2019-00173 – Apache: Inconsistências de normalização de URL

Quando o componente de caminho de um URL de solicitação contém várias barras consecutivas ('/'), diretivas como LocationMatch e RewriteRule devem considerar duplicatas em expressões regulares, enquanto outros aspectos do processamento de servidores implicitamente as recolherão.

ASA-2019-00172 – Apache: Bypass de controle de acesso no mod_auth_digest

No Apache HTTP Server 2.4, versão 2.4.38 e anterior, um race condition em mod_auth_digest ao ser executado em um servidor threaded poderia permitir que um usuário com credenciais válidas autenticasse usando outro nome de usuário, ignorando as restrições de controle de acesso configuradas.

ASA-2019-00170 – Apache: Escalação de privilégios a partir dos scripts dos módulos

Nas versões 2.4.17 a 2.4.38 do Apache HTTP Server 2.4, com o evento MPM, worker ou prefork, o código em execução em processos-filhos menos privilegiados ou threads (incluindo scripts executados por um interpretador de scripts em processo) poderia executar código arbitrário com o privilégios do processo pai (geralmente root) manipulando o scoreboard. Sistemas não-Unix não são afetados.

ASA-2019-00169 – Apache: Possível crash na atualização tardia no mod_http2

Quando HTTP/2 foi ativado para um http: host ou o H2Upgrade foi ativado para h2 em um https: host, uma solicitação de upgrade de http/1.1 para http/2 que não foi a primeira solicitação em uma conexão pode levar a um erro de configuração e crash. Servidores que nunca habilitaram o protocolo h2 ou apenas o habilitaram para https: e não definiram "H2Upgrade on" não são afetados por esse problema.