• Wenn Sie diese Version mit einem Anwendungsserver verwenden möchten, wie z.B. Apache Tomcat 11, dann muss dieser folgendes unterstützen
  • Java 17
  • Jakarta EE 10
  • Servlet Specifications 6.1
  • WebSocket 2.2
• Wenn Sie benutzerdefinierte Plugins implementiert haben oder die Software als eingebettete Anwendung verwenden, müssen Sie einige Anpassungen an Ihrem Java-Code vornehmen, da die Servlet-Spezifikation von Version 4.0 auf 6.1 aktualisiert wurde. Infolgedessen wurden die Java-Pakete von javax in jakarta geändert. Dies betrifft die Pakete jakarta.servlet, jakarta.websocket, jakarta.activation und jakarta.mail.

• Die minimal erforderliche Java-Version ist Java 17.
• Das JWebEngine.jar wurde entfernt und durch das htmlengine Plugin ersetzt. Dies ist ein Core-Plugin und muss immer im plugins-Verzeichnis enthalten sein, andernfalls startet der Server nicht.

• Die Version 23.10 ist die letzte Version, die Folgendes noch unterstützt:
  • Java 11
  • Jakarta EE 8 Anwendungssserver
  • Servlet Spezifikation 3.1
  • WebSocket 1.1

• Die Docker-Container wurden aktualisiert, um mit einem eingeschränkten Benutzer anstelle des root-Benutzers zu laufen.
  • Die neuen eingeschränkten Benutzer- und Gruppenkennungen lauten 1000.
  • Die vom Host gemounteten Volumes müssen manuell aktualisiert werden, um die neuen Benutzer- und Gruppenkennungen zu berücksichtigen.
  • Die Mountpunkte der vom Host gemounteten Volumes müssen von /root auf /home/<Benutzername> aktualisiert werden. Der <Benutzername> wird mit dem whois Befehl im Container ermittelt
  • Weitere Informationen finden Sie in unseren FAQ: https://faq.inetsoftware.de/t/upgrading-to-user-restricted-docker-container/277

Behobene Fehler

• Fehlerhaftes Clipping korrigiert
• Performance-Optimierung von Alphamasken

• Berechtigung "Benutzer und Gruppen verwalten" wird in drei Berechtigungen geteilt, um nur Anteile des Benutzer-Managements freizugeben zu können.
• Die mitgelieferte Eclipse Temurin Java VM wurde auf Version 21.0.8 aktualisiert.

Behobene Fehler

• Behebt eine NullPointerException beim PDF-Export mit *.otf-Schriftarten, die kein Private Dictionary enthalten.

Sicherheitskorrekturen

• Sicherheitsupdate für CVE-2025-24970
  • Netty (4.1.91.Final-4.1.117.Final) weist eine Sicherheitslücke in SslHandler auf, die einen nativen Absturz verursachen kann. Behoben in 4.1.118.Final. Umgehung: Deaktivieren Sie die native SSLEngine oder patchen Sie manuell.
• Sicherheitsupdate für CVE-2025-48734
  • Apache Commons BeanUtils wurden auf Version 1.11.0 aktualisiert, wegen einer Schwachstelle in der Zugangskontrolle.
• Sicherheitsupdate für CVE-2025-58057
  • Netty (4.1.124.Final und darunter) weist eine Schwachstelle auf, wenn es mit speziell gestalteten Eingaben versorgt wird. BrotliDecoder und bestimmte andere Dekompressionsdecoder weisen eine große Anzahl erreichbarer Byte-Puffer zu, was zu einem Denial-of-Service führen kann. BrotliDecoder.decompress hat keine Begrenzung hinsichtlich der Häufigkeit, mit der es pull aufruft, und dekomprimiert Daten in Blöcken von jeweils 64 KB. Die Puffer werden in der Ausgabeliste gespeichert und bleiben erreichbar, bis ein OOM auftritt.

• Docker Images sind sowohl für amd64 als auch für arm64v8 Plattformen verfügbar. Das bedeutet, dass das Pullen eines Images anhand seines Tags automatisch ein plattformspezifisches Docker-Image lädt.
• Remote Recovery kann auch via HTTPS genutzt werden, wenn es im Server konfiguriert ist.
• Unterstützt die Ungleich-Suche von Phrasen in Anführungszeichen in der Form: Feld:<>"Text Phrase".
• Die mitgelieferte Eclipse Temurin Java VM wurde auf Version 21.0.8 aktualisiert.

Behobene Fehler

• Die Berechtigung Alle Berichte ausführen der Gruppe Alle Benutzer ging beim Neustart des Servers verloren.
• Behebt eine NullPointerException beim PDF-Export mit *.otf-Schriftarten, die kein Private Dictionary enthalten.

• Die mitgelieferte Eclipse Temurin Java VM wurde auf Version 21.0.3 aktualisiert.
• Unterstützung für Java Version 22 hinzugefügt

Behobene Fehler

• Benutzer-Such-Resultate werden vermeiden, in den beiden Resultatszeilen den gleichen Wert anzuzeigen.

Sicherheitskorrekturen

• Systemberechtigungen sind bei Neuinstallationen standardmäßig aktiviert.
• Sicherheitsupdate für CVE-2024-30172
  • Die Anzahl, wie oft die Verbindung zu E-Mail-Servern wiederholt wird, bevor eine Fehlermeldung gesendet wird. Die Verbindung wird unter Berücksichtigung des Abfrageintervalls überprüft. Das heißt, Fehlerbenachrichtigungen werden erst nach ''<Abfrageintervall> x <Tolerierte Ausfälle +1> Minuten'' gesendet.

• Bei einer Suche "Datumsfeld:<Datum" wird der Tag des Datums nicht mehr ins Suchergebnis mit einbezogen.
• DynamoDB-Persistenz Property TablePrefix hinzugefügt.
• Alle Antworten des Webservers mit einem Statuscode von 400 oder höher werden in einem zusätzliches Ereignisprotokoll hinterlegt. Sie können mit den Statistiken- und Diagnose-Plugins ausgewertet werden.
• Die Reihenfolge der Authentifizierungsanbieter ohne Einstellungen kann im Konfigurationsmanager geändert werden.
• Konfigurationsoption security.txt hinzugefügt. Der Inhalt dieser Option wird an Clients gesendet, die die Datei /.well-known/security.txt anfordern.
• Das Gastkonto hat aus Sicherheitsgründen keine administrative Berechtigungen mehr, auch wenn es keine Einschränkungen der Berechtigungen gibt (systempermission.enabled=false). Administrative Berechtigungen des Gastkontos müssen bei Bedarf explicit aktiviert werden (guest.full.permissions=true).
• Überschreibt nicht die System-Property "javax.net.ssl.trustStoreType", wenn diese bereits gesetzt ist.

Behobene Fehler

• Fixt fehlerhafte Digist-Authentifizierung mit Chrome-Browser.

Sicherheitskorrekturen

• Sicherheitsupdate für CVE-2023-35116
  • Ein Problem wurde entdeckt, dass jackson-databind bis 2.15.2 Angreifern erlaubt, einen Denial-of-Service oder andere nicht spezifizierte Auswirkungen über ein manipuliertes Objekt, das zyklische Abhängigkeiten verwendet, zu verursachen.
• Sicherheitsupdate für CVE-2018-1002208
  • SharpZipLib vor 1.0 RC1 ist anfällig für Directory Traversal, wodurch Angreifer über einen ../ (dot dot slash) in einem Zip-Archiv-Eintrag, der während der Extraktion falsch behandelt wird, in beliebige Dateien schreiben können. Diese Sicherheitslücke ist auch als 'Zip-Slip' bekannt.
• Sicherheitsupdate für CVE-2021-32840
  • SharpZipLib ist eine Zip-, GZip-, Tar- und BZip2-Bibliothek. Vor Version 1.3.3 kann ein TAR-Dateieintrag ../evil.txt in das übergeordnete Verzeichnis von destFolder extrahiert werden. Dies führt zum Schreiben beliebiger Dateien, was zur Codeausführung führen kann. Die Sicherheitslücke wurde in Version 1.3.3 gepatcht.
• Sicherheitsupdate für CVE-2023-5072.
  • Denial of Service in JSON-Java-Versionen bis einschließlich 20230618. Ein Fehler im Parser bedeutet, dass eine Eingabezeichenkette von bescheidener Größe dazu führen kann, dass eine unbestimmte Menge an Speicher verwendet wird.
• Sicherheitsupdate für CVE-2023-44487
  • Das HTTP/2-Protokoll ermöglicht eine Dienstverweigerung (Verbrauch von Server-Ressourcen), da die Stornierung von Anfragen viele Streams schnell zurücksetzen kann, wie im August bis Oktober 2023 in freier Wildbahn ausgenutzt wurde.
• Sicherheitsupdate für CVE-2023-22102
  • Sicherheitslücke im Produkt MySQL Connectors von Oracle MySQL (Komponente: Connector/J). Unterstützte Versionen, die betroffen sind, sind 8.1.0 und früher. Die schwer auszunutzende Schwachstelle ermöglicht es nicht authentifizierten Angreifern mit Netzwerkzugang über mehrere Protokolle, MySQL Connectors zu kompromittieren. Erfolgreiche Angriffe erfordern menschliche Interaktion von einer anderen Person als dem Angreifer. Während die Schwachstelle in MySQL Connectors auftritt, können Angriffe erhebliche Auswirkungen auf weitere Produkte haben (Änderung des Anwendungsbereichs). Erfolgreiche Angriffe auf diese Schwachstelle können zu einer Übernahme der MySQL-Konnektoren führen. CVSS 3.1 Base Score 8.3 (Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit). CVSS-Vektor: (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H).
• Sicherheitsupdate für CVE-2023-34062
  • In Reactor Netty HTTP Server, Versionen 1.1.x vor 1.1.13 und Versionen 1.0.x vor 1.0.39, kann ein böswilliger Benutzer eine Anfrage mit einer speziell gestalteten URL senden, die zu einem Directory Traversal Angriff führen kann.
  • Konkret ist eine Anwendung verwundbar, wenn der Reactor Netty HTTP Server so konfiguriert ist, dass er statische Ressourcen bereitstellt.
• Sicherheitsupdate für CVE-2024-25710
  • Schleife mit unerreichbarer Exit-Bedingung ('Endlosschleife') in Apache Commons Compress: Dieses Problem betrifft Apache Commons Compress: von 1.3 bis 1.25.0.
• Sicherheitsupdate für CVE-2024-22201
  • Jetty ist ein Java-basierter Webserver und eine Servlet-Engine. Eine HTTP/2-SSL-Verbindung, die aufgebaut wird und bei der TCP überlastet ist, wird durchlässig, wenn die Zeit abgelaufen ist. Ein Angreifer kann bewirken, dass viele Verbindungen in diesem Zustand enden und dem Server die Dateideskriptoren ausgehen, was schließlich dazu führt, dass der Server keine neuen Verbindungen von gültigen Clients mehr annimmt. Die Sicherheitslücke ist in 9.4.54, 10.0.20, 11.0.20 und 12.0.6 gepatcht.
• Sicherheitsupdate für CVE-2023-51775
  • Die jose4j-Komponente vor 0.9.4 für Java ermöglicht es Angreifern, einen Denial-of-Service (CPU-Verbrauch) über einen großen p2c (aka PBES2 Count)-Wert zu verursachen.
• Sicherheitsupdate für CVE-2024-30172
  • ** RESERVIERT ** Dieser Kandidat wurde von einer Organisation oder Person reserviert, die ihn bei der Ankündigung eines neuen Sicherheitsproblems verwenden wird. Sobald der Kandidat veröffentlicht wurde, werden die Details für diesen Kandidaten zur Verfügung gestellt.

• Ereignis Protokoll Einträge werden auch im Recovery Manager geschrieben.
• Konfigurations-Aktion in der Kategorie Login hinzugefügt, um Mitglieder der Authentifizierungsgruppen zurückzusetzen.

Sicherheitskorrekturen

• Sicherheitsupdate für CVE-2022-36033
  • jsoup ist ein Java-HTML-Parser, der für HTML-Bearbeitung, Bereinigung, Scraping und Cross-Site-Scripting (XSS)-Sicherheit gebaut wurde. jsoup kann HTML mit javascript:-URL-Ausdrücken falsch bereinigen, was XSS-Angriffe ermöglichen könnte, wenn ein Leser anschließend auf diesen Link klickt. Wenn die nicht standardmäßige Option SafeList.preserveRelativeLinks aktiviert ist, wird HTML, das javascript: URLs enthält, die mit Steuerzeichen erstellt wurden, nicht bereinigt. Wenn die Website, auf der dieses HTML veröffentlicht wird, keine Content Security Policy einstellt, ist ein XSS-Angriff möglich. Dieses Problem wurde in jsoup 1.15.3 behoben. Benutzer sollten auf diese Version aktualisieren. Da die nicht sanitisierten Eingaben möglicherweise erhalten geblieben sind, sollten alte Inhalte mit der aktualisierten Version erneut bereinigt werden. Um dieses Problem zu beheben, ohne sofort zu aktualisieren: - deaktivieren Sie SafeList.preserveRelativeLinks, wodurch Eingabe-URLs als absolute URLs umgeschrieben werden - Stellen Sie sicher, dass eine geeignete Content Security Policy definiert ist. (Dies sollte unabhängig von der Aktualisierung als beste Verteidigungspraxis verwendet werden)
• Sicherheitsupdate für CVE-2020-13946
  • In Apache Cassandra, allen Versionen vor 2.1.22, 2.2.18, 3.0.22, 3.11.8 und 4.0-beta2, ist es für einen lokalen Angreifer ohne Zugriff auf den Apache Cassandra-Prozess oder die Konfigurationsdateien möglich, die RMI-Registrierung zu manipulieren, um einen Man-in-the-Middle-Angriff durchzuführen und Benutzernamen und Kennwörter für den Zugriff auf die JMX-Schnittstelle zu erfassen. Der Angreifer kann dann diese Anmeldeinformationen verwenden, um auf die JMX-Schnittstelle zuzugreifen und nicht autorisierte Operationen durchzuführen. Benutzer sollten sich auch über CVE-2019-2684 informieren, eine JRE-Schwachstelle, die es ermöglicht, dieses Problem aus der Ferne auszunutzen.
• Sicherheitsupdate für CVE-2022-42003
  • In FasterXML jackson-databind vor 2.14.0-rc1 kann es zu einer Erschöpfung der Ressourcen kommen, weil in Deserialisierern für primitive Werte eine Prüfung fehlt, um eine tiefe Verschachtelung von Wrapper-Arrays zu vermeiden, wenn die Funktion UNWRAP_SINGLE_VALUE_ARRAYS aktiviert ist. Zusätzliche Korrekturversion in 2.13.4.1 und 2.12.17.1
• Sicherheitsupdate für CVE-2022-31684
  • Der Reactor Netty HTTP Server, in den Versionen 1.0.11 - 1.0.23, kann in einigen Fällen von ungültigen HTTP-Anfragen Anfrage-Header protokollieren. Die protokollierten Header können denjenigen, die Zugriff auf die Serverprotokolle haben, gültige Zugriffstoken offenbaren. Dies kann nur ungültige HTTP-Anfragen betreffen, bei denen die Protokollierung auf WARN-Ebene aktiviert ist.
• Sicherheitsupdate für CVE-2022-41946
  • pgjdbc ist ein quelloffener Postgresql-JDBC-Treiber. In den betroffenen Versionen erstellt eine vorbereitete Anweisung, die entweder PreparedStatement.setText(int, InputStream) oder PreparedStatemet.setBytea(int, InputStream) verwendet, eine temporäre Datei, wenn der InputStream größer als 2k ist. Dadurch wird eine temporäre Datei erstellt, die auf Unix-ähnlichen Systemen von anderen Benutzern gelesen werden kann, nicht aber unter MacOS. Auf Unix-ähnlichen Systemen wird das temporäre Verzeichnis des Systems von allen Benutzern auf diesem System gemeinsam genutzt. Wenn also Dateien und Verzeichnisse in dieses Verzeichnis geschrieben werden, sind sie standardmäßig für andere Benutzer desselben Systems lesbar. Diese Sicherheitsanfälligkeit ermöglicht es anderen Benutzern nicht, den Inhalt dieser Verzeichnisse oder Dateien zu überschreiben. Es handelt sich um eine reine Informationsoffenlegungsschwachstelle. Da bestimmte JDK-Dateisystem-APIs erst in JDK 1.7 hinzugefügt wurden, hängt die Behebung dieser Schwachstelle von der Version des JDK ab, die Sie verwenden. Benutzer von Java 1.7 und höher: Diese Sicherheitslücke ist in 4.5.0 behoben. Benutzer von Java 1.6 und niedriger: Es ist kein Patch verfügbar. Wenn Sie keinen Patch finden oder mit Java 1.6 arbeiten, können Sie diese Schwachstelle beheben, indem Sie die Systemumgebungsvariable java.io.tmpdir auf ein Verzeichnis setzen, das ausschließlich dem ausführenden Benutzer gehört.
• Sicherheitsupdate für CVE-2021-37533
  • Vor Apache Commons Net 3.9.0 vertraute der FTP-Client von Net standardmäßig dem Host aus der PASV-Antwort. Ein bösartiger Server kann den Commons Net-Code umleiten, um einen anderen Host zu verwenden, aber der Benutzer muss sich erst mit dem bösartigen Server verbinden. Dies kann dazu führen, dass Informationen über Dienste, die im privaten Netzwerk des Clients laufen, preisgegeben werden. Die Voreinstellung in Version 3.9.0 ist nun false, um solche Hosts zu ignorieren, wie es cURL tut. Siehe https:*issues.apache.org/jira/browse/NET-711.
• Sicherheitsupdate für CVE-2022-23494
  • tinymce ist ein Open-Source-Rich-Text-Editor. Eine Cross-Site-Scripting (XSS)-Schwachstelle wurde in den Warn- und Bestätigungsdialogen entdeckt, wenn diese Dialoge mit bösartigen HTML-Inhalten versehen wurden. Dies kann in Plugins auftreten, die die Warn- oder Bestätigungsdialoge verwenden, wie z.B. im image-Plugin, das diese Dialoge präsentiert, wenn bestimmte Fehler auftreten. Die Schwachstelle ermöglichte die Ausführung von beliebigem JavaScript, wenn eine Warnung in der TinyMCE-Benutzeroberfläche für den aktuellen Benutzer angezeigt wurde. Diese Schwachstelle wurde in TinyMCE 5.10.7 und TinyMCE 6.3.1 gepatcht, indem sichergestellt wurde, dass die HTML-Sanitisierung auch nach dem Entpacken ungültiger Elemente durchgeführt wurde. Benutzern wird empfohlen, entweder auf 5.10.7 oder 6.3.1 zu aktualisieren. Benutzer, die nicht upgraden können, können sicherstellen, dass der images_upload_handler einen gültigen Wert gemäß der images_upload_handler-Dokumentation zurückgibt.
• Sicherheitsupdate für CVE-2022-41915
  • Das Netty-Projekt ist ein ereignisgesteuertes, asynchrones Netzwerkanwendungs-Framework. Ab Version 4.1.83.Final und vor 4.1.86.Final wurde beim Aufruf von DefaultHttpHeadesr.set mit einem _Iterator_ von Werten keine Validierung der Header-Werte durchgeführt, so dass bösartige Header-Werte im Iterator HTTP Response Splitting durchführen konnten. Dieses Problem wurde in Version 4.1.86.Final behoben. Integratoren können das Problem umgehen, indem sie den Aufruf DefaultHttpHeaders.set(CharSequence, Iterator<?>) in einen remove()-Aufruf ändern und add() in einer Schleife über den Iterator der Werte aufrufen.
• Sicherheitsupdate für CVE-2023-22551
  • Das FTP-Projekt (auch bekannt als "Implementierung eines einfachen FTP-Clients und -Servers") über 96c1a35 ermöglicht es entfernten Angreifern, eine Dienstverweigerung (Speicherverbrauch) zu verursachen, indem sie Client-Aktivitäten durchführen, wie z. B. den Aufbau und die anschließende Beendigung einer Verbindung. Dies geschieht, weil malloc verwendet wird, free jedoch nicht.
• Sicherheitsupdate für CVE-2023-24998
  • Apache Commons FileUpload vor 1.5 begrenzt nicht die Anzahl der zu verarbeitenden Anfrageteile, was dazu führt, dass ein Angreifer mit einem bösartigen Upload oder einer Reihe von Uploads einen DoS auslösen kann. Beachten Sie, dass die neue Konfigurationsoption (FileUploadBase#setFileCountMax), wie alle Begrenzungen für das Hochladen von Dateien, nicht standardmäßig aktiviert ist und explizit konfiguriert werden muss.
• Sicherheitsupdate für CVE-2022-45688
  • Ein Stapelüberlauf in der Komponente XML.toJSONObject von hutool-json v5.8.10 ermöglicht es Angreifern, über manipulierte JSON- oder XML-Daten einen Denial of Service (DoS) zu verursachen.
• Sicherheitsupdate für CVE-2022-45688
  • Jetty ist ein javabasierter Webserver und eine Servlet-Engine. Die nicht standardmäßige Cookie-Analyse in Jetty kann es einem Angreifer ermöglichen, Cookies in andere Cookies einzuschleusen oder auf andere Weise ein unbeabsichtigtes Verhalten auszuführen, indem er den Mechanismus der Cookie-Analyse manipuliert. Wenn Jetty einen Cookie-WERT sieht, der mit " (Anführungszeichen) beginnt, liest es die Cookie-Zeichenfolge so lange, bis es ein schließendes Anführungszeichen sieht - selbst wenn ein Semikolon auftaucht. Also, ein Cookie-Header wie: DISPLAY_LANGUAGE="b; JSESSIONID=1337; c=d" als ein Cookie mit dem Namen DISPLAY_LANGUAGE und einem Wert von b; JSESSIONID=1337; c=d anstelle von drei separaten Cookies analysiert. Dies hat Auswirkungen auf die Sicherheit, denn wenn z. B. JSESSIONID ein HttpOnly-Cookie ist und der DISPLAY_LANGUAGE-Cookie-Wert auf der Seite gerendert wird, kann ein Angreifer den JSESSIONID-Cookie in den DISPLAY_LANGUAGE-Cookie schmuggeln und ihn so exfiltrieren. Dies ist von Bedeutung, wenn ein Vermittler eine auf Cookies basierende Richtlinie durchführt, so dass ein eingeschmuggelter Cookie diese Richtlinie umgehen kann und dennoch vom Jetty-Server oder seinem Protokollierungssystem gesehen wird. Dieses Problem wurde in den Versionen 9.4.51, 10.0.14, 11.0.14 und 12.0.0.beta0 behoben und es wird empfohlen, ein Upgrade durchzuführen. Es gibt keine bekannten Umgehungsmöglichkeiten für dieses Problem.
• Sicherheitsupdate für CVE-2024-30172
  • ** RESERVIERT ** Dieser Kandidat wurde von einer Organisation oder Person reserviert, die ihn bei der Ankündigung eines neuen Sicherheitsproblems verwenden wird. Sobald der Kandidat veröffentlicht wurde, werden die Details für diesen Kandidaten zur Verfügung gestellt.

• Unterstützung für den HTTP-Header Forward (RFC 7329) zur Verwendung mit Reverse Proxies wurde hinzugefügt.
• Datenbank Persistence akzeptiert beliebige Configuration Scope (USER or SYSTEM) und kann auch mit einem nicht Root Account ausgeführt werden.
• Installer für macOS mit Apple Silicon ist verfügbar.
• Das mitgelieferte Eclipse Temurin Java VM ist Version 17.0.14
• Unterstützung für DynamoDB-Persistenz hinzugefügt

Sicherheitskorrekturen

• Option zur Deaktivierung der Funktion "Eingeloggt bleiben" für alle Benutzer hinzugefügt.
• Sicherheitsupdate für CVE-2020-36518
  • jackson-databind vor 2.13.0 ermöglicht eine Java StackOverflow-Ausnahme und eine Dienstverweigerung über eine große Tiefe von verschachtelten Objekten.
• Sicherheitsupdate für CVE-2022-24823
  • Netty ist ein Open-Source-Framework für asynchrone, ereignisgesteuerte Netzwerkanwendungen. Das Paket ''io.netty:netty-codec-http'' vor Version 4.1.77.Final enthält eine unzureichende Korrektur für CVE-2021-21290. Wenn die Multipart-Decoder von Netty verwendet werden, kann es zur Offenlegung lokaler Informationen Ã?ber das temporÃ?re Verzeichnis des lokalen Systems kommen, wenn das temporÃ?re Speichern von Uploads auf der Festplatte aktiviert ist. Dies wirkt sich nur auf Anwendungen aus, die unter Java Version 6 und niedriger laufen. Darüber hinaus wirkt sich diese Schwachstelle auf Code aus, der auf Unix-ähnlichen Systemen und sehr alten Versionen von Mac OSX und Windows ausgeführt wird, da sie alle das temporäre Systemverzeichnis für alle Benutzer freigeben. Version 4.1.77.Final enthält einen Patch für diese Sicherheitslücke. Als Abhilfe können Sie beim Starten der JVM ein eigenes ''java.io.tmpdir'' angeben oder DefaultHttpDataFactory.setBaseDir(...) verwenden, um das Verzeichnis auf etwas zu setzen, das nur für den aktuellen Benutzer lesbar ist.
• Sicherheitsupdate für CVE-2021-23792
  • Das Paket com.twelvevemonkeys.imageio:imageio-metadata vor 3.7.1 ist anfällig für XML External Entity (XXE) Injection aufgrund eines unsicher initialisierten XML-Parsers zum Lesen von XMP-Metadaten. Ein Angreifer kann diese Schwachstelle ausnutzen, wenn es ihm gelingt, eine Datei (z. B. bei der Verarbeitung eines Online-Profilbildes) mit einem bösartigen XMP-Segment zu versehen. Wenn die XMP-Metadaten des hochgeladenen Bildes geparst werden, wird die XXE-Schwachstelle ausgelöst.
• Sicherheitsupdate für CVE-2022-21363
  • Sicherheitslücke im Produkt MySQL Connectors von Oracle MySQL (Komponente: Connector/J). Unterstützte Versionen, die betroffen sind, sind 8.0.27 und früher. Die schwer auszunutzende Schwachstelle ermöglicht es Angreifern mit hohen Privilegien und Netzwerkzugriff über mehrere Protokolle, MySQL Connectors zu kompromittieren. Erfolgreiche Angriffe auf diese Schwachstelle können zu einer Übernahme der MySQL-Konnektoren führen. CVSS 3.1 Base Score 6.6 (Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit). CVSS-Vektor: (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H).
• Sicherheitsupdate für CVE-2020-11023
  • In jQuery-Versionen größer oder gleich 1.0.3 und vor 3.5.0 kann die Übergabe von HTML, das Elemente aus nicht vertrauenswürdigen Quellen enthält - selbst nach deren Bereinigung - an eine der DOM-Manipulationsmethoden von jQuery (d. h. .html(), .append() und andere) nicht vertrauenswürdigen Code ausführen. Dieses Problem wurde in jQuery 3.5.0 behoben.
• Sicherheitsupdate für CVE-2022-2191
  • In den Eclipse Jetty-Versionen 10.0.0 bis 10.0.9 und 11.0.0 bis 11.0.9 gibt SslConnection im Falle von Fehlercodepfaden keine ByteBuffer aus dem konfigurierten ByteBufferPool frei.
• Sicherheitsupdate für CVE-2022-2047
  • In Eclipse Jetty-Versionen 9.4.0 bis 9.4.46 und 10.0.0 bis 10.0.9 sowie 11.0.0 bis 11.0.9 erkennt die Jetty HttpURI-Klasse beim Parsen des Autoritätssegments einer http-Schema-URI fälschlicherweise eine ungültige Eingabe als Hostname. Dies kann zu Fehlern in einem Proxy-Szenario führen.
• Sicherheitsupdate für CVE-2022-31160
  • jQuery UI ist ein kuratierter Satz von Benutzeroberflächeninteraktionen, Effekten, Widgets und Themen, die auf jQuery basieren. Versionen vor 1.13.2 sind potenziell anfällig für Cross-Site-Scripting. Die Initialisierung eines checkboxradio-Widgets auf einer Eingabe, die in einem Label eingeschlossen ist, führt dazu, dass der Inhalt des übergeordneten Labels als das Eingabe-Label betrachtet wird. Der Aufruf von ''.checkboxradio( "refresh" )'' auf einem solchen Widget und das anfängliche HTML enthielt kodierte HTML-Entitäten, die fälschlicherweise dekodiert wurden. Dies kann zu potenziell ausführbarem JavaScript-Code führen. Der Fehler wurde in jQuery UI 1.13.2 behoben. Um das Problem zu beheben, kann jemand, der das anfängliche HTML ändern kann, alle Nicht-Eingabeinhalte des ''label'' in eine ''span'' einpacken.
• Sicherheitsupdate für CVE-2022-31197
  • Der PostgreSQL JDBC-Treiber (kurz: PgJDBC) ermöglicht es Java-Programmen, sich mit einer PostgreSQL-Datenbank zu verbinden, indem sie standardmäßigen, datenbankunabhängigen Java-Code verwenden. Die PGJDBC-Implementierung der Methode ''java.sql.ResultRow.refreshRow()'' führt kein Escaping von Spaltennamen durch, so dass ein bösartiger Spaltenname, der einen Anweisungsterminator, z. B. '';'', enthält, zu einer SQL-Injektion führen kann. Dies könnte dazu führen, dass zusätzliche SQL-Befehle als JDBC-Benutzer der Anwendung ausgeführt werden. Benutzeranwendungen, die die Methode ''ResultSet.refreshRow()'' nicht aufrufen, sind davon nicht betroffen. Benutzeranwendungen, die diese Methode aufrufen, sind betroffen, wenn die zugrunde liegende Datenbank, die sie über ihre JDBC-Anwendung abfragen, unter der Kontrolle eines Angreifers stehen könnte. Für den Angriff muss der Angreifer den Benutzer dazu bringen, SQL gegen einen Tabellennamen auszuführen, dessen Spaltennamen das bösartige SQL enthalten, und anschließend die Methode ''refreshRow()'' für das ResultSet aufzurufen. Beachten Sie, dass der JDBC-Benutzer der Anwendung und der Eigentümer des Schemas nicht identisch sein müssen. Eine JDBC-Anwendung, die als privilegierter Benutzer ausgeführt wird und Datenbankschemata abfragt, die potenziell böswilligen, weniger privilegierten Benutzern gehören, wäre anfällig. In dieser Situation könnte der böswillige Benutzer ein Schema erstellen, das die Anwendung dazu veranlasst, Befehle als privilegierter Benutzer auszuführen. Die gepatchten Versionen werden als ''42.2.26'' und ''42.4.1'' veröffentlicht. Den Benutzern wird empfohlen, ein Upgrade durchzuführen. Es gibt keine bekannten Umgehungsmöglichkeiten für dieses Problem.
• Sicherheitsupdate für CVE-2022-31129
  • moment ist eine JavaScript-Datumsbibliothek zum Parsen, Validieren, Manipulieren und Formatieren von Daten. Es wurde festgestellt, dass die betroffenen Versionen von moment einen ineffizienten Parsing-Algorithmus verwenden. Insbesondere die Verwendung von String-Date-Parsing in Moment (genauer gesagt rfc2822-Parsing, das standardmäßig versucht wird) hat eine quadratische (N^2) Komplexität bei bestimmten Eingaben. Bei Eingaben von mehr als 10k Zeichen können Benutzer eine deutliche Verlangsamung feststellen. Benutzer, die vom Benutzer bereitgestellte Zeichenketten ohne Überprüfung der korrekten Länge an den Moment-Konstruktor übergeben, sind anfällig für (Re)DoS-Angriffe. Das Problem ist in 2.29.4 behoben, der Patch kann mit minimalen Anpassungen auf alle betroffenen Versionen angewendet werden. Benutzern wird empfohlen, ein Upgrade durchzuführen. Benutzer, die nicht upgraden können, sollten in Erwägung ziehen, die Länge von Datumsangaben zu begrenzen, die von Benutzereingaben akzeptiert werden.
• Sicherheitsupdate für CVE-2022-36033
  • jsoup ist ein Java-HTML-Parser, der für HTML-Bearbeitung, Bereinigung, Scraping und Cross-Site-Scripting (XSS)-Sicherheit entwickelt wurde. jsoup kann HTML mit ''javascript:''-URL-Ausdrücken falsch bereinigen, was XSS-Angriffe ermöglichen könnte, wenn ein Leser anschließend auf diesen Link klickt. Wenn die nicht standardmäßige Option ''SafeList.preserveRelativeLinks'' aktiviert ist, wird HTML mit ''javascript:''-URLs, die mit Steuerzeichen erstellt wurden, nicht bereinigt. Wenn die Website, auf der dieser HTML-Code veröffentlicht wird, keine Inhaltssicherheitsrichtlinie festgelegt hat, ist ein XSS-Angriff möglich. Dieses Problem wurde in jsoup 1.15.3 behoben. Benutzer sollten auf diese Version aktualisieren. Da die nicht sanitisierten Eingaben möglicherweise erhalten geblieben sind, sollten alte Inhalte mit der aktualisierten Version erneut bereinigt werden. Um dieses Problem zu beheben, ohne sofort zu aktualisieren: - deaktivieren Sie ''SafeList.preserveRelativeLinks'', wodurch Eingabe-URLs als absolute URLs umgeschrieben werden - stellen Sie sicher, dass eine geeignete [[https:*developer.mozilla.org/de-US/docs/Web/HTTP/CSP|Content Security Policy]] definiert ist. (Diese sollte unabhängig von einem Upgrade als bewährtes Verfahren zur Tiefenverteidigung verwendet werden)
• Sicherheitsupdate für CVE-2022-42003
  • In FasterXML jackson-databind vor 2.14.0-rc1 kann es aufgrund einer fehlenden PrÃ?fung in Deserialisierern fÃ?r primitive Werte zu einer Erschöpfung der Ressourcen kommen, um eine tiefe Verschachtelung von Wrapper-Arrays zu vermeiden, wenn die Funktion UNWRAP_SINGLE_VALUE_ARRAYS aktiviert ist. Zusätzliche Korrekturversion in 2.13.4.1 und 2.12.17.1
• Sicherheitsupdate für CVE-2022-31684
  • Der Reactor Netty HTTP Server, in den Versionen 1.0.11 - 1.0.23, kann in einigen Fällen von ungültigen HTTP-Anfragen Anfrage-Header protokollieren. Die protokollierten Header können denjenigen, die Zugriff auf die Serverprotokolle haben, gültige Zugriffstoken offenbaren. Dies kann nur ungültige HTTP-Anfragen betreffen, bei denen die Protokollierung auf WARN-Ebene aktiviert ist.
• Sicherheitsupdate für CVE-2021-37533
  • Vor Apache Commons Net 3.9.0 vertraute der FTP-Client von Net standardmäßig dem Host aus der PASV-Antwort. Ein bösartiger Server kann den Commons Net-Code umleiten, um einen anderen Host zu verwenden, aber der Benutzer muss sich erst mit dem bösartigen Server verbinden. Dies kann dazu führen, dass Informationen über Dienste, die im privaten Netzwerk des Clients laufen, preisgegeben werden. Die Voreinstellung in Version 3.9.0 ist nun false, um solche Hosts zu ignorieren, wie es cURL tut. Siehe https:*issues.apache.org/jira/browse/NET-711.
• Sicherheitsupdate für CVE-2022-23494
  • tinymce ist ein Open-Source-Rich-Text-Editor. Eine Cross-Site-Scripting (XSS)-Schwachstelle wurde in den Warn- und Bestätigungsdialogen entdeckt, wenn diese Dialoge mit bösartigen HTML-Inhalten versehen wurden. Dies kann in Plugins auftreten, die die Warn- oder Bestätigungsdialoge verwenden, wie z.B. im image-Plugin, das diese Dialoge präsentiert, wenn bestimmte Fehler auftreten. Die Schwachstelle ermöglichte die Ausführung von beliebigem JavaScript, wenn eine Warnung in der TinyMCE-Benutzeroberfläche für den aktuellen Benutzer angezeigt wurde. Diese Schwachstelle wurde in TinyMCE 5.10.7 und TinyMCE 6.3.1 gepatcht, indem sichergestellt wurde, dass die HTML-Sanitisierung auch nach dem Entpacken ungültiger Elemente durchgeführt wurde. Benutzern wird empfohlen, entweder auf 5.10.7 oder 6.3.1 zu aktualisieren. Benutzer, die nicht upgraden können, können sicherstellen, dass der images_upload_handler einen gültigen Wert gemäß der images_upload_handler-Dokumentation zurückgibt.
• Sicherheitsupdate für CVE-2022-41915
  • Das Netty-Projekt ist ein ereignisgesteuertes, asynchrones Netzwerkanwendungs-Framework. Ab Version 4.1.83.Final und vor 4.1.86.Final wurde beim Aufruf von DefaultHttpHeadesr.set mit einem _Iterator_ von Werten keine Validierung der Header-Werte durchgeführt, so dass bösartige Header-Werte im Iterator HTTP Response Splitting durchführen konnten. Dieses Problem wurde in Version 4.1.86.Final behoben. Integratoren können das Problem umgehen, indem sie den Aufruf DefaultHttpHeaders.set(CharSequence, Iterator) in einen remove()-Aufruf ändern und add() in einer Schleife über den Iterator der Werte aufrufen.
• Sicherheitsupdate für CVE-2023-24998
  • Apache Commons FileUpload vor 1.5 begrenzt nicht die Anzahl der zu verarbeitenden Anfrageteile, was dazu führt, dass ein Angreifer mit einem bösartigen Upload oder einer Reihe von Uploads einen DoS auslösen kann.

• Das mitgelieferte AdoptOpenJDK 17 wurde auf Eclipse Temurin Java VM 17.0.4.1 aktualisiert.
• Zwei-Faktor-Authentifizierung wird unterstützt.
• Verhindert das seitliche Laden von Plugins für falsche Anwendungsversionen.
• Die Verwendung von Web-Push-Benachrichtigungen wird nun unterstützt.
• MeetUp ist erwachsen geworden, heißt jetzt i-net CoWork und ist nun auch als separates Produkt erhältlich.

Behobene Fehler

• Es wurde ein Fehler behoben, der die Webschnittstelle des Benutzermanagers beschädigte, wenn das Land des Servers nicht gültig war.
• Es wurde ein Fehler bei der Suche nach Ziffern und Zahlendatentypen behoben, der die Fehlermeldung IllegalArgumentException: Empty left and right operand in search condition
• Behebung eines Deadlocks mit OpenJ9 Java VM beim Starten des Servers über API.

Sicherheitskorrekturen

• Ein Thread-Fehler wurde behoben, der es einem Benutzer ermöglichte, einzelne Anfragen im Sicherheitskontext eines anderen Benutzers auszuführen.
• Sicherheitsupdate für CVE-2021-37136
  • Die Dekomprimierungsfunktion Bzip2Decoder erlaubt es nicht, Größenbeschränkungen für die dekomprimierten Ausgabedaten festzulegen (was sich auf die bei der Dekomprimierung verwendete Allokationsgröße auswirkt). Alle Benutzer von Bzip2Decoder sind davon betroffen. Die bösartige Eingabe kann einen OOME und damit einen DoS-Angriff auslösen.
• Sicherheitsupdate für CVE-2021-37137
  • Die Snappy-Frame-Decoder-Funktion schränkt die Chunk-Länge nicht ein, was zu einer übermäßigen Speichernutzung führen kann. Außerdem kann sie reservierte, überspringbare Chunks puffern, bis der gesamte Chunk empfangen wurde, was ebenfalls zu einer übermäßigen Speichernutzung führen kann. Diese Schwachstelle kann durch eine böswillige Eingabe ausgelöst werden, die zu einer sehr großen Größe dekomprimiert wird (über einen Netzwerk-Stream oder eine Datei) oder durch das Senden eines großen überspringbaren Chunks.
• Sicherheitsupdate für CVE-2020-21913
  • International Components for Unicode (ICU-20850) v66.1 enthält einen Use-After-Free-Fehler in der Funktion pkg_createWithAssemblyCode in der Datei tools/pkgdata/pkgdata.cpp.
• Sicherheitsupdate für CVE-2021-4126
  • Keine Informationen verfügbar.
• Sicherheitsupdate für CVE-2021-43797
  • Netty ist ein asynchrones, ereignisgesteuertes Netzwerkanwendungs-Framework für die schnelle Entwicklung von wartbaren, leistungsstarken Protokollservern und -clients. Netty vor Version 4.1.71.Final überspringt Steuerzeichen, wenn sie am Anfang/Ende des Headernamens vorhanden sind. Es sollte stattdessen schnell fehlschlagen, da diese von der Spezifikation nicht erlaubt sind und zu HTTP-Anfrage-Schmuggel führen könnten. Wenn die Validierung nicht durchgeführt wird, könnte Netty die Header-Namen "bereinigen", bevor es diese an ein anderes entferntes System weiterleitet, wenn es als Proxy verwendet wird. Dieses entfernte System kann die ungültige Verwendung nicht mehr sehen und führt daher die Validierung nicht selbst durch. Benutzer sollten auf die Version 4.1.71.Final aktualisieren.
• Sicherheitsupdate für CVE-2021-41182
  • jQuery-UI ist die offizielle jQuery-Benutzeroberflächenbibliothek. Vor Version 1.13.0 konnte das Akzeptieren des Wertes der Option altField des Datepicker-Widgets aus nicht vertrauenswürdigen Quellen nicht vertrauenswürdigen Code ausführen. Das Problem wurde in jQuery UI 1.13.0 behoben. Jeder String-Wert, der an die Option altField übergeben wird, wird nun als CSS-Selektor behandelt. Ein Workaround besteht darin, den Wert der Option altField nicht aus nicht vertrauenswürdigen Quellen zu akzeptieren.
• Sicherheitsupdate für CVE-2021-41183
  • jQuery-UI ist die offizielle jQuery-Bibliothek für Benutzeroberflächen. Vor Version 1.13.0 konnte das Akzeptieren des Wertes verschiedener *Text-Optionen des Datepicker-Widgets aus nicht vertrauenswürdigen Quellen nicht vertrauenswürdigen Code ausführen. Das Problem wurde in jQuery UI 1.13.0 behoben. Die an verschiedene *Text-Optionen übergebenen Werte werden nun immer als reiner Text und nicht als HTML behandelt. Ein Workaround besteht darin, den Wert der *Text-Optionen nicht aus nicht vertrauenswürdigen Quellen zu akzeptieren.
• Sicherheitsupdate für CVE-2021-41184
  • jQuery-UI ist die offizielle jQuery-Benutzeroberflächenbibliothek. Vor Version 1.13.0 konnte die Annahme des Wertes der Option of der Option .position() aus nicht vertrauenswürdigen Quellen nicht vertrauenswürdigen Code ausführen. Das Problem ist in jQuery UI 1.13.0 behoben. Jeder String-Wert, der an die Option "of" übergeben wird, wird nun als CSS-Selektor behandelt. Eine Abhilfe besteht darin, den Wert der Option "of" aus nicht vertrauenswürdigen Quellen nicht zu akzeptieren.
• Sicherheitsupdate für CVE-2020-36518
  • jackson-databind vor 2.13.0 ermöglicht eine Java-StackOverflow-Ausnahme und eine Dienstverweigerung über eine große Tiefe von verschachtelten Objekten.
• Sicherheitsupdate für CVE-2022-24785 und CVE-2022-31129
  • Aktualisierung der Bibliothek momentjs auf Version 2.29.4.

• Das mitgelieferte AdoptOpenJDK 11 wurde auf Version 11.0.26 aktualisiert
• Java 17 wird unterstützt
• Das Update von alten Versionen ist nun eingeschränkt. Wenn Sie eine nicht unterstützte alte Version verwenden, ist ein Update auf eine Zwischenversion erforderlich
• Es ist erlaubt, ein Let's Encrypt-Zertifikat mit einem Callback zum HTTPS-Port zu erstellen. Probleme mit der Umleitung auf HTTPS und wenn der Server nur auf HTTPS läuft sind gelöst
• Auf der Fehlerseite wurde ein QR-Code hinzugefügt, der auf eine Hilfeseite verweist, die weitere Details enthalten kann
• Unterschiedliche Ports, die in der Konfiguration des Webserver-Dialogs konfiguriert werden, verwenden unterschiedliche HTTP-Sitzungen
• Eine Fehlermeldung trat während der Einrichtung auf, wenn die Umleitung zu HTTPS aktiviert ist
• Der Plugin-Dialog in der Konfiguration des Servers wurde durch den Plugin Store ersetzt

Behobene Fehler

• Eingebettete Schriftarten für .NET Viewer behoben (Fehlermeldung: Schriftart mit ID 1 konnte nicht erstellt werden).

Sicherheitskorrekturen

• Ein Thread-Fehler wurde behoben, der es einem Benutzer ermöglichte, einzelne Anfragen im Sicherheitskontext eines anderen Benutzers auszuführen.
• Sicherheitsupdate für CVE-2021-29425
  • Wenn in Apache Commons IO vor Version 2.7 die Methode FileNameUtils.normalize mit einer unzulässigen Eingabezeichenkette wie ''%%"//../foo" oder "\..\foo"%%'' aufgerufen wird, ist das Ergebnis derselbe Wert, der möglicherweise den Zugriff auf Dateien im übergeordneten Verzeichnis ermöglicht, aber nicht weiter oben (also "begrenztes" Pfad-Traversal), wenn der aufrufende Code das Ergebnis verwendet, um einen Pfadwert zu konstruieren
• Sicherheitsupdate für CVE-2021-28165
  • In Eclipse Jetty 7.2.2 bis 9.4.38, 10.0.0.alpha0 bis 10.0.1 und 11.0.0.alpha0 bis 11.0.1 kann die CPU-Auslastung beim Empfang eines großen ungültigen TLS-Frames 100% erreichen
• Sicherheitsupdate für CVE-2021-28169
  • Bei Eclipse Jetty Versionen <= 9.4.40, <= 10.0.2, <= 11.0.2 ist es möglich, dass Anfragen an das ConcatServlet mit einem doppelt kodierten Pfad auf geschützte Ressourcen innerhalb des WEB-INF-Verzeichnisses zugreifen. Zum Beispiel kann eine Anfrage an /concat?/%2557EB-INF/web.xml die Datei web.xml abrufen. Dies kann sensible Informationen über die Implementierung einer Webanwendung offenlegen
• Sicherheitsupdate für CVE-2021-34428
  • Bei Eclipse Jetty-Versionen <= 9.4.40, <= 10.0.2, <= 11.0.2 wird die Sitzungs-ID im Sitzungs-ID-Manager nicht ungültig gemacht, wenn eine Ausnahme von der Methode SessionListener#sessionDestroyed() geworfen wird. Bei Implementierungen mit geclusterten Sitzungen und mehreren Kontexten kann dies dazu führen, dass eine Sitzung nicht ungültig gemacht wird. Dies kann dazu führen, dass eine Anwendung, die auf einem gemeinsam genutzten Computer verwendet wird, angemeldet bleibt.
• Sicherheitsupdate für CVE-2021-21409
  • Netty ist ein quelloffenes, asynchrones, ereignisgesteuertes Netzwerkanwendungs-Framework für die schnelle Entwicklung von wartbaren, leistungsstarken Protokollservern und -clients. In Netty (io.netty:netty-codec-http2) vor Version 4.1.61.Final gibt es eine Sicherheitslücke, die Request Smuggling ermöglicht. Der content-length-Header wird nicht korrekt validiert, wenn die Anfrage nur einen einzigen Http2HeaderFrame mit dem auf true gesetzten endStream verwendet. Dies kann zum Request Smuggling führen, wenn die Anfrage an eine entfernte Gegenstelle weitergeleitet und in HTTP/1.1 übersetzt wird. Dies ist eine Folgemaßnahme von GHSA-wm47-8v5p-wjpj/CVE-2021-21295, die diesen einen Fall nicht behoben hat. Dies wurde als Teil von 4.1.61.Final behoben
• Sicherheitsupdate für CVE-2021-31812
  • In Apache PDFBox kann eine sorgfältig erstellte PDF-Datei beim Laden der Datei eine Endlosschleife auslösen. Dieses Problem betrifft Apache PDFBox Version 2.0.23 und frühere 2.0.x-Versionen
• Sicherheitsupdate für CVE-2021-36090
  • Beim Lesen eines speziell gestalteten ZIP-Archivs kann Compress dazu veranlasst werden, große Mengen an Speicher zuzuweisen, was schließlich selbst bei sehr kleinen Eingaben zu einem "out of memory"-Fehler führt. Dies könnte genutzt werden, um einen Denial-of-Service-Angriff gegen Dienste zu starten, die das ZIP-Paket von Compress verwenden
• Sicherheitsupdate für CVE-2021-35517
  • Beim Lesen eines speziell gestalteten TAR-Archivs kann Compress dazu gebracht werden, große Mengen an Speicher zuzuweisen, was schließlich selbst bei sehr kleinen Eingaben zu einem "out of memory"-Fehler führt. Dies könnte genutzt werden, um einen Denial-of-Service-Angriff gegen Dienste zu starten, die das tar-Paket von Compress verwenden
• Sicherheitsupdate für CVE-2021-37714
  • jsoup ist eine Java-Bibliothek für die Arbeit mit HTML. Diejenigen, die jsoup-Versionen vor 1.14.2 verwenden, um nicht vertrauenswürdiges HTML oder XML zu parsen, können für DOS-Angriffe anfällig sein. Wenn der Parser mit Benutzereingaben ausgeführt wird, kann ein Angreifer Inhalte einspeisen, die dazu führen, dass der Parser stecken bleibt (Endlosschleife bis zum Abbruch), langsamer als gewöhnlich abgeschlossen wird oder eine unerwartete Ausnahme auslöst. Dieser Effekt kann einen Denial-of-Service-Angriff unterstützen. Das Problem wurde in Version 1.14.2 behoben. Es gibt einige verfügbare Umgehungsmöglichkeiten. Benutzer können das Parsen von Eingaben einschränken, die Größe der Eingaben basierend auf den Systemressourcen begrenzen und/oder Thread-Watchdogs implementieren, um die Parse-Laufzeiten zu begrenzen und zu unterbrechen

• Die Speicherverwaltung für Systeme mit einem großen Heap (>= 4 GB) wurde verbessert
• Die Versionsnummer von Plugins besteht nun aus 3 Teilen
• Das Plugin "Web Server Defender" wurde hinzugefügt, um vor DoS und Account-Hacking mit Brute-Force zu schützen
• Das Cookie-Attribut "SameSite" kann nun gesetzt werden. Der Standardwert ist Lax
• Suchleiste und Ticketansichten unterstützen nun auch eine ODER-Suche mit den Schlüsselwörtern "oder", "||" und "|"
• Eingebettete Webseiten unterstützen nun auch die Verlinkung (Redirect) von Webseiten. Zusätzliche Rechteverwaltung auf Basis von "Benutzer- und Gruppen"-Mitgliedschaften
• Generischer OpenID Connect (OIDC) Authentifizierungsanbieter hinzugefügt
• Azure OpenID Connect (OIDC)-Authentifizierungsanbieter hinzugefügt
• Beispiel-Plugin für benutzerdefinierten OAuth-Anbieter hinzugefügt

Behobene Fehler

• OAuth-Authentifizierung (Azure) mit Safari-Browser war nicht möglich
• Die Berechtigungsprüfung für die WebAPI hat in Verbindung mit der Standard-Windows-Authentifizierung nicht funktioniert
• URL war falsch nach Anmeldung bei einem beliebigen OAuth-Authentifizierungsanbieter wie Azure und wenn ein Reverse-Proxy (wie default.aspx für IIS) verwendet wurde

Sicherheitskorrekturen

• Die kleine Version wurde aktualisiert aufgrund von:
  • CVE-2020-27216
    • In den Eclipse Jetty-Versionen 1.0 bis 9.4.32.v20200930, 10.0.0.alpha1 bis 10.0.0.beta2 und 11.0.0.alpha1 bis 11.0.0.beta2O wird auf Unix-ähnlichen Systemen das temporäre Verzeichnis des Systems von allen Benutzern auf diesem System gemeinsam genutzt. Ein kollokierter Benutzer kann den Prozess der Erstellung eines temporären Unterverzeichnisses in dem gemeinsam genutzten temporären Verzeichnis beobachten und um die Erstellung des temporären Unterverzeichnisses wetteifern. Wenn der Angreifer das Rennen gewinnt, hat er Lese- und Schreibrechte für das Unterverzeichnis, das zum Entpacken von Webanwendungen verwendet wird, einschließlich ihrer WEB-INF/lib jar-Dateien und JSP-Dateien. Wenn aus diesem temporären Verzeichnis heraus Code ausgeführt wird, kann dies zu einer lokalen Schwachstelle führen, die eine Ausweitung der Rechte zur Folge hat
  • CVE-2020-13956
    • Apache HttpClient-Versionen vor Version 4.5.13 und 5.0.3 können fehlerhafte Autoritätskomponenten in Anfrage-URIs, die an die Bibliothek als java.net.URI-Objekt übergeben werden, fehlinterpretieren und den falschen Zielhost für die Anfrageausführung auswählen
  • CVE-2020-27218
    • In Eclipse Jetty Version 9.4.0.RC0 bis 9.4.34.v20201102, 10.0.0.alpha0 bis 10.0.0.beta2, und 11.0.0.alpha0 bis 11.0.0.beta2, wenn die Aufblähung des GZIP-Anfragekörpers aktiviert ist und Anfragen von verschiedenen Clients auf eine einzige Verbindung gemultiplext werden, und wenn ein Angreifer eine Anfrage mit einem Körper senden kann, der vollständig empfangen, aber nicht von der Anwendung verbraucht wird, dann wird eine nachfolgende Anfrage auf der gleichen Verbindung diesen Körper an seinen Körper vorangestellt sehen. Der Angreifer sieht keine Daten, kann aber Daten in den Body der nachfolgenden Anfrage einfügen
  • CVE-2020-27223
    • In Eclipse Jetty 9.4.6.v20170531 bis 9.4.36.v20210114 (einschließlich), 10.0.0 und 11.0.0, wenn Jetty eine Anfrage verarbeitet, die mehrere Accept-Header mit einer großen Anzahl von Qualitätsparametern (d. h. q) enthält, kann der Server aufgrund der hohen CPU-Auslastung bei der Verarbeitung dieser Qualitätswerte in einen Denial-of-Service-Zustand (DoS) eintreten, was zu minutenlanger CPU-Zeit führt, die bei der Verarbeitung dieser Qualitätswerte verbraucht wird
• *Die Guava-Version wurde aufgrund von CVE-2020-8908 auf 30.1 aktualisiert**
  • In allen Versionen von Guava besteht eine Schwachstelle bei der Erstellung von temporären Verzeichnissen, die es einem Angreifer mit Zugriff auf den Rechner ermöglicht, auf Daten in einem temporären Verzeichnis zuzugreifen, das von der Guava-API com.google.common.io.Files.createTempDir() erstellt wurde. Auf unix-ähnlichen Systemen ist das erstellte Verzeichnis standardmäßig für die ganze Welt lesbar (lesbar für einen Angreifer mit Zugriff auf das System). Die betreffende Methode wurde in den Versionen 30.0 und später als @Deprecated markiert und sollte nicht mehr verwendet werden. Android-Entwicklern empfehlen wir, eine von Android bereitgestellte API für temporäre Verzeichnisse zu verwenden, z. B. context.getCacheDir(). Anderen Java-Entwicklern empfehlen wir, auf die Java 7-API java.nio.file.Files.createTempDirectory() umzusteigen, die explizit die Berechtigungen von 700 konfiguriert, oder die Systemeigenschaft java.io.tmpdir der Java-Laufzeitumgebung so zu konfigurieren, dass sie auf einen Speicherort zeigt, dessen Berechtigungen entsprechend konfiguriert sind
• Cron-utils aktualisiert auf Version 9.1.3 aufgrund von https://nvd.nist.gov/vuln/detail/CVE-2020-26238
• Sicherheitsupdate für CVE-2020-1967
  • Server- oder Client-Anwendungen, die die Funktion SSL_check_chain() während oder nach einem TLS 1.3-Handshake aufrufen, können aufgrund einer NULL-Zeiger-Dereferenz abstÃ?rzen, da die TLS-Erweiterung "signature_algorithms_cert" nicht korrekt behandelt wird. Der Absturz tritt auf, wenn ein ungültiger oder nicht erkannter Signaturalgorithmus von der Gegenstelle empfangen wird. Dies könnte von einer böswilligen Gegenstelle für einen Denial-of-Service-Angriff ausgenutzt werden. OpenSSL Version 1.1.1d, 1.1.1e, und 1.1.1f sind von diesem Problem betroffen. Dieses Problem betraf keine OpenSSL-Versionen vor 1.1.1d. Behoben in OpenSSL 1.1.1g (Betroffen sind 1.1.1d-1.1.1f)
• Sicherheitsupdate für CVE-2021-20328
  • Bestimmte Versionen des Java-Treibers, die die clientseitige Verschlüsselung auf Feldebene (CSFLE) unterstützen, führen keine korrekte Überprüfung des Hostnamens auf dem Zertifikat des KMS-Servers durch. Diese Schwachstelle kann in Kombination mit einer privilegierten Netzwerkposition und einem aktiven MITM-Angriff dazu führen, dass der Datenverkehr zwischen dem Java-Treiber und dem KMS-Dienst abgefangen wird, wodurch die Field Level Encryption unwirksam wird. Dieses Problem wurde bei internen Tests entdeckt und betrifft alle Versionen des Java-Treibers, die CSFLE unterstützen. Die Java async-, Scala- und reaktiven Streams-Treiber sind nicht betroffen. Diese Sicherheitsanfälligkeit wirkt sich nicht auf Treiber-Nutzdaten mit CSFLE-unterstützten Schlüsseldiensten aus, die von Anwendungen innerhalb der AWS-, GCP- und Azure-Netzwerkstrukturen stammen, da in diesen Umgebungen kompensierende Kontrollen vorhanden sind. Dieses Problem wirkt sich nicht auf Treiber-Workloads aus, die keine Field Level Encryption verwenden