[meta:date:2018-12-05]

[general]
* A Java Runtime is used, which is no longer directly from Oracle and which may be used license-free.

[general:de]
* Es wird eine Java Runtime verwendet, die nicht mehr direkt von Oracle stammt und die lizenzfrei verwendet werden darf.

[changes]
* **Web Client**:  Single sign-on (SSO) occurs immediately without the user having to click another button. *Prerequisite*: Login type is Windows authentication only.
* **Login form**: Clearer distinction between Windows authentication and login as other user.
* **Java 8 Update 201**: Transparent NTLM authentication disabled with Java 8u201 has been re-enabled.

[changes:de]
* **Web-Client**:  Single-Sign-On (SSO) erfolgt sofort, ohne dass der Benutzer noch einen Button klicken muss. *Voraussetzung*: Logintyp ist nur Windows-Authentifizierung.
* **Login-Formular**: Deutlichere Unterscheidung zwischen Windows-Authentifizierung und Login als anderer Benutzer.
* **Java 8 Update 201**: Die mit Java 8u201 abgeschaltete transparente NTLM-Authentifizierung wurde wieder aktiviert.

[bugfixes]
* **Users and groups, resources**: Delete resource and move tickets without function.
* **Users and Groups**: 'Permissions' report shows no results.
* **Maintenance, User Accounts**: User ID link brings an error message.
* **Java Client**: Message 'License exceeded', although license limit was met.
* **Configuration, Web Server**: Enabled redirection from HTTP to HTTPS when using a proxy causes client startup to fail.
* **Menu 'ITIL Master'**: 'Message sent by e-mail to the following address' - address is not saved.
* **Ticket Details**: Even with own changes in the ticket, e.g. email sent, the 'Change to order details' box pops up.
* **Order Editing**: For a selected text, the font is not displayed inversely.
* **Stand-alone client**: Multicast of the client (UDP port: 5353) delivers only HTTP URLs to the i-net HelpDesk server.
* **Apply workflow**: Wrong text in workflow message if mandatory field is set.
* **User selection dialog**: Cursor is not immediately in search line.
* **Email**: Recipient list for automatic emails to dispatchers was limited to 200 characters. This limitation has been removed.
* **Error during update (Oracle DB only)**: Update fails if there is a knowledge base article which has no entry either at 'Problem' or at 'Solution'.
* **Device import**: When importing devices, the user is only recognized if the import source contains the username plus domain prefix.
* **Update error**: In rare cases, the creation of the new HelpDesk service fails during the update because a now obsolete file is not deleted in the JRE directory.

[bugfixes:de]
* **Benutzer und Gruppen, Ressourcen**: Ressource löschen und Tickets verschieben ohne Funktion.
* **Benutzer und Gruppen**: Bericht 'Berechtigungen' zeigt keine Ergebnisse.
* **Wartung, Benutzerkonten**: Link Benutzer-ID bringt eine Fehlermeldung.
* **Java-Client**: Meldung 'Lizenz überschritten', obwohl Lizenzgrenze eingehalten wurde.
* **Konfiguration, Webserver**: Aktivierte Umleitung von HTTP auf HTTPS bei Verwendung eines Proxy lässt den Client-Start fehlschlagen.
* **Menü 'ITIL-Master'**: 'Nachricht per E-Mail an folgende Adresse' - Adresse wird nicht gespeichert.
* **Auftrags-Details**: Auch bei eigenen Änderungen im Ticket, z.B. E-Mail versendet, poppt die Box 'Änderung an den Auftragsdaten' auf.
* **Auftragsbearbeitung**: Bei einem markierten Text wird die Schrift nicht invers dargestellt.
* **Stand-Alone-Client**: Multicast des Clients (UDP Port: 5353) liefert nur HTTP-URLs zum i-net HelpDesk-Server.
* **Workflow anwenden**: Falscher Text in Workflow-Meldung, wenn ein Pflichtfeld gesetzt ist.
* **Benutzerauswahldialog**: Cursor ist nicht sofort in der Suchzeile.
* **E-Mail**: Die Empfängerliste für automatische E-Mails an Dispatcher war begrenzt auf 200 Zeichen. Diese Begrenzung wurde aufgehoben.
* **Fehler beim Update (nur bei Oracle-DB)**: Das Update scheitert, wenn es einen Wissensbasis-Artikel gibt, welcher entweder keinen Eintrag bei 'Problem' oder bei 'Lösung' besitzt.
* **Geräte-Import**: Beim Import von Geräten wird der Benutzer nur erkannt, wenn in der Import-Quelle der Benutzername plus Domänenpräfix enthalten ist.
* **Fehler beim Update**: In seltenen Fällen scheitert beim Update das Anlegen des neuen HelpDesk-Dienstes, weil im JRE-Verzeichnis eine inzwischen obsolete Datei nicht gelöscht wird.

[security]
* **Critical vulnerability** Update of the Help Plugin (CVE-2020-11431)
  * This issue only affects the i-net HelpDesk server, not the clients.
  * Further critical protection measures + security optimizations to CVE-2020-11431.
* XXE vulnerability for logged in users who have the right to Ad-Hoc Reporting or Remote Designer
* Multiple XSS vulnerabilities (login was not required)
* Path Traversal vulnerability that allowed access to files in the installation folder and its subfolders
* Access denied' error occurred during update when Windows login was set in MS SQL Server

[security:de]
* **Kritische Sicherheitslücke** Update des Help Plugins (CVE-2020-11431)
  * Dieses Problem betrifft nur den Server des i-net HelpDesk, nicht die Clients.
  * Weitere kritische Schutzmaßnahmen + Sicherheitsoptimierungen zu CVE-2020-11431.
* XXE Sicherheitslücke bei angemeldeten Benutzern, die das Recht auf Ad-Hoc Reporting oder Remote Designer haben
* Mehrere XSS Sicherheitslücken (Anmeldung war nicht erforderlich)
* Path Traversal - Sicherheitslücke, die Zugriff auf Dateien im Installationsordner und seinen Unterordnern erlaubte
* Fehler 'Zugriff verweigert' beim Update aufgetreten, wenn Windows-Anmeldung in MS SQL Server eingestellt war
