Доступен релиз HTTP-сервера Apache 2.4.23, в котором представлено 36 изменений, 17 из которых связаны с исправлениями в модуле mod_http2. Выпуски 2.4.21 и 2.4.22 были пропущены, следом за 2.4.20 сразу опубликован релиз 2.4.23.

В новом выпуске устранена уязвимость (CVE-2016-4979), которая позволяет обойти аутентификацию на основе клиентских сертификатов X509. Проблема проявляется только в системах, использующих HTTP/2, и позволяет получить доступ к ресурсам, без предоставления необходимого для аутентификации сертификата. Уязвимы версии httpd c 2.4.18 по 2.4.20 в которых активирован модуль mod_http2.

Из изменений, не связанных с безопасностью и исправлением ошибок, можно отметить реализацию в mod_include конструкции «‹!—#comment текст комментария›» для определения комментариев в файлах SSI, а также добавление новой директивы CGIVar, при помощи которой можно определить правило заполнения переменной окружения REQUEST_URI (original-uri для изначально запрошенного URI и current-uri для текущего URI).