- Die Option Erlaubte Cross Origins wird in Erlaubte Origins umbenannt und führt zusätzliche Prüfungen auf der Serverseite durch, wenn sie konfiguriert ist.
- Die externe sichtbare URL wird ebenfalls als erlaubte Origin unter Verwendung des CORS-Headers gesendet.
- Verbindungen zum Server (entweder HTTPs oder WSs) werden ebenfalls anhand der Liste der erlaubten Origins und der externen sichtbaren URL geprüft.
{{getMsg('Help_YouAreHere')}}:
/
{{page.title}}
{{page.title}}
{{$root.getMsg("downLoadHelpAsPdf")}}
{{helpModel.downloadHelpPdfDataStatus}}
WebserverAktiv
Die folgenden Informationen werden aus der Plugin-Beschreibung abgeleitet.
Stellt die Webserver-Implementierung für die Standalone-Installation des Servers bereit.
Die Konfiguration des Webservers umfasst die Einrichtung von Ports für HTTP- und HTTPS-Verbindungen, Verschlüsselung und zusätzliche benutzerdefinierte HTTP-Header. Zu Testzwecken können eigene SSL-Zertifikate erstellt werden. Let'S Encrypt ist in der Konfiguration für den produktiven Einsatz enthalten, um global gültige Zertifikate für öffentlich zugängliche Server zu erhalten.
Über die Aufgabenplanung lassen sich die Let'S Encrypt-Zertifikate regelmäßig erneuern und benutzerdefinierte Zertifikate auf Änderungen - z.B. wenn sie aktualisiert wurden - prüfen.
Dieses Plugin bettet den Jetty-Webserver ein und sollte nicht in Webserver-Implementierungen von Drittanbietern wie Tomcat, JBoss usw. verwendet werden.
Migrationsinformationen
Informationen zu Änderungen
- Ermöglicht das Hochladen von SSL-Zertifikaten auf den Server in der Konfigurationsanwendung.
- Hinzufügen einer Web-API, um SSL-Zertifikate hochzuladen und zu aktualisieren.
- Hinzufügen eines Sicherungs- und Wiederherstellungs-Jobs für SSL-Zertifikate in der Wartungsanwendung
- Hier spielt es keine Rolle, welcher Zertifikatstyp gerade konfiguriert ist - alle Typen mit verfügbaren Zertifikaten werden gesichert und können wiederhergestellt werden.
Behobene Fehler
- Wenn LetsEncrypt nicht verfügbar war, wurden zwei Zertifikatsabschnitte angezeigt, einer für den Upload und einer für die feste Datei.
Sicherheitskorrekturen
- Sicherheitsupdate für CVE-2025-1948
- In Eclipse Jetty Versionen 12.0.0 bis 12.0.16 kann ein HTTP/2-Client einen sehr großen Wert für den HTTP/2-Einstellungsparameter SETTINGS_MAX_HEADER_LIST_SIZE angeben.
- Der Jetty-HTTP/2-Server führt keine Validierung dieser Einstellung durch und versucht, einen ByteBuffer mit der angegebenen Kapazität zuzuweisen, um HTTP-Antworten zu kodieren, was wahrscheinlich zu einem OutOfMemoryError oder sogar zum Beenden des JVM-Prozesses führt.
- Sicherheitsupdate für CVE-2025-8671
- Eine Diskrepanz zwischen den HTTP/2-Spezifikationen und den internen Architekturen einiger HTTP/2-Implementierungen, die durch vom Client ausgelöste, vom Server gesendete Stream-Resets verursacht wird, kann zu einem übermäßigen Verbrauch von Server-Ressourcen und damit zu Denial-of-Service (DoS) führen. Durch das Öffnen von Streams und das anschließende schnelle Zurücksetzen durch den Server - unter Verwendung von fehlerhaften Frames oder Flusskontrollfehlern - kann ein Angreifer eine falsche Stream-Abrechnung ausnutzen. Streams, die vom Server zurückgesetzt werden, gelten auf Protokollebene als geschlossen, auch wenn die Backend-Verarbeitung weiterläuft. Dadurch kann ein Client den Server veranlassen, eine unbegrenzte Anzahl gleichzeitiger Streams auf einer einzigen Verbindung zu verarbeiten.
- Aktualisierung der Bouncy Castle-Verschlüsselungsbibliothek auf eine FIPS-zertifizierte Version. Die FIPS-Zertifizierung gewährleistet, dass kryptografische Module strenge Sicherheitsstandards erfüllen, was die Sicherheit und das Vertrauen erhöht.
- Die
Weiterleitung aller HTTP-Anfragen auf HTTPSist für jeden Port möglich.
Sicherheitskorrekturen
- Sicherheitsupdate für CVE-2025-8671
- Eine Diskrepanz zwischen den HTTP/2-Spezifikationen und den internen Architekturen einiger HTTP/2-Implementierungen, die durch vom Client ausgelöste, vom Server gesendete Stream-Resets verursacht wird, kann zu einem übermäßigen Verbrauch von Server-Ressourcen und damit zu Denial-of-Service (DoS) führen. Durch das Öffnen von Streams und das anschließende schnelle Zurücksetzen durch den Server - unter Verwendung von fehlerhaften Frames oder Flusskontrollfehlern - kann ein Angreifer eine falsche Stream-Abrechnung ausnutzen. Streams, die vom Server zurückgesetzt werden, gelten auf Protokollebene als geschlossen, auch wenn die Backend-Verarbeitung weiterläuft. Dadurch kann ein Client den Server veranlassen, eine unbegrenzte Anzahl gleichzeitiger Streams auf einer einzigen Verbindung zu verarbeiten.
- Option in der Sicherheitssektion der Webserver-Konfiguration hinzugefügt, um die Einbettung der Anwendung mittels
X-Frame-Optionszu steuern.
Sicherheitskorrekturen
- Sicherheitsupdate für CVE-2023-44487
- Das HTTP/2-Protokoll ermöglicht eine DoS (Verbrauch von Server-Ressourcen), da die Stornierung von Anfragen viele Streams schnell zurücksetzen kann, wie im August bis Oktober 2023 in freier Wildbahn ausgenutzt wurde.
- Es wurden Platzhalter für das Start- und Ablaufdatum des HTTPS-Zertifikats hinzugefügt, das aktuell verwendet wird. Die Platzhalter können dann in Aufgabenplanungs-Aktionen verwendet werden.
- Änderung des Jetty-Servers von Version 9.4.x auf 10.0.x.
- Unterstützung für HTTP/2-Protokoll hinzugefügt.
- Erlaubte Cross Origins heißt jetzt Erlaubte Origins.
Sicherheitskorrekturen
- Wenn Erlaubte Origins gesetzt sendet, sendet der Server CORS-Header, die auch die externe sichtbare URL enthalten.
- Der Server prüft nun, ob er mit einem der angegebenen Werte aus der externen sichtbaren URL oder den erlaubten Origins angesprochen wird.
- Der Server prüft sowohl HTTP/s- als auch WS/s-Verbindungen.
- Ein optionaler Web-Kontext des Webservers kann gesetzt werden, wenn der Server nicht im Root-Kontext laufen soll.
© Copyright 1996 - 2025, i-net software GmbH; All rights Reserved. Imprint
