[changes]
* The bundled AdoptOpenJDK 11 was updated to version 11.0.26
* Java 17 supported
* Update of old versions is now limited. If you are using an unsupported old version, an update to an intermediate version is required
* It is allowed to create a Let's Encrypt certificate with a callback to the HTTPS port. Problems with redirect to HTTPS and if the server runs only on HTTPS are solved
* Added QR code to the error page, linking to a help page which may have further details
* Different ports, configured in the configuration Web Server dialog, use different HTTP sessions
* An error message occurred during setup if redirect to HTTPS is enabled
* The plugins dialog in the configuration of the server was replaced by the Plugin Store

[changes:de]
* Das mitgelieferte AdoptOpenJDK 11 wurde auf Version 11.0.26 aktualisiert
* Java 17 wird unterstützt
* Das Update von alten Versionen ist nun eingeschränkt. Wenn Sie eine nicht unterstützte alte Version verwenden, ist ein Update auf eine Zwischenversion erforderlich
* Es ist erlaubt, ein Let's Encrypt-Zertifikat mit einem Callback zum HTTPS-Port zu erstellen. Probleme mit der Umleitung auf HTTPS und wenn der Server nur auf HTTPS läuft sind gelöst
* Auf der Fehlerseite wurde ein QR-Code hinzugefügt, der auf eine Hilfeseite verweist, die weitere Details enthalten kann
* Unterschiedliche Ports, die in der Konfiguration des Webserver-Dialogs konfiguriert werden, verwenden unterschiedliche HTTP-Sitzungen
* Eine Fehlermeldung trat während der Einrichtung auf, wenn die Umleitung zu HTTPS aktiviert ist
* Der Plugin-Dialog in der Konfiguration des Servers wurde durch den Plugin Store ersetzt

[bugfixes]
* Fixed embedded fonts for .NET viewer (error message: Could not create font with ID 1).

[bugfixes:de]
* Eingebettete Schriftarten für .NET Viewer behoben (Fehlermeldung: Schriftart mit ID 1 konnte nicht erstellt werden).

[security]
* Fixed a thread bug that allowed a user to run single requests in another users security context.
* *Security Update for CVE-2021-29425*
  * In Apache Commons IO before 2.7, When invoking the method FileNameUtils.normalize with an improper input string, like ''%%"//../foo", or "\\..\foo"%%'', the result would be the same value, thus possibly providing access to files in the parent directory, but not further above (thus "limited" path traversal), if the calling code would use the result to construct a path value
* *Security Update for CVE-2021-28165*
  * In Eclipse Jetty 7.2.2 to 9.4.38, 10.0.0.alpha0 to 10.0.1, and 11.0.0.alpha0 to 11.0.1, CPU usage can reach 100% upon receiving a large invalid TLS frame
* *Security Update for CVE-2021-28169*
  * For Eclipse Jetty versions <= 9.4.40, <= 10.0.2, <= 11.0.2, it is possible for requests to the ConcatServlet with a doubly encoded path to access protected resources within the WEB-INF directory. For example a request to `/concat?/%2557EB-INF/web.xml` can retrieve the web.xml file. This can reveal sensitive information regarding the implementation of a web application
* *Security Update for CVE-2021-34428*
  * For Eclipse Jetty versions <= 9.4.40, <= 10.0.2, <= 11.0.2, if an exception is thrown from the SessionListener#sessionDestroyed() method, then the session ID is not invalidated in the session ID manager. On deployments with clustered sessions and multiple contexts this can result in a session not being invalidated. This can result in an application used on a shared computer being left logged in.
* *Security Update for CVE-2021-21409*
  * Netty is an open-source, asynchronous event-driven network application framework for rapid development of maintainable high performance protocol servers & clients. In Netty (io.netty:netty-codec-http2) before version 4.1.61.Final there is a vulnerability that enables request smuggling. The content-length header is not correctly validated if the request only uses a single Http2HeaderFrame with the endStream set to to true. This could lead to request smuggling if the request is proxied to a remote peer and translated to HTTP/1.1. This is a followup of GHSA-wm47-8v5p-wjpj/CVE-2021-21295 which did miss to fix this one case. This was fixed as part of 4.1.61.Final
* *Security Update for CVE-2021-31812*
  * In Apache PDFBox, a carefully crafted PDF file can trigger an infinite loop while loading the file. This issue affects Apache PDFBox version 2.0.23 and prior 2.0.x versions
* *Security Update for CVE-2021-36090*
  * When reading a specially crafted ZIP archive, Compress can be made to allocate large amounts of memory that finally leads to an out of memory error even for very small inputs. This could be used to mount a denial of service attack against services that use Compress' zip package
* *Security Update for CVE-2021-35517*
  * When reading a specially crafted TAR archive, Compress can be made to allocate large amounts of memory that finally leads to an out of memory error even for very small inputs. This could be used to mount a denial of service attack against services that use Compress' tar package
* *Security Update for CVE-2021-37714*
  * jsoup is a Java library for working with HTML. Those using jsoup versions prior to 1.14.2 to parse untrusted HTML or XML may be vulnerable to DOS attacks. If the parser is run on user supplied input, an attacker may supply content that causes the parser to get stuck (loop indefinitely until cancelled), to complete more slowly than usual, or to throw an unexpected exception. This effect may support a denial of service attack. The issue is patched in version 1.14.2. There are a few available workarounds. Users may rate limit input parsing, limit the size of inputs based on system resources, and/or implement thread watchdogs to cap and timeout parse runtimes

[security:de]
* Ein Thread-Fehler wurde behoben, der es einem Benutzer ermöglichte, einzelne Anfragen im Sicherheitskontext eines anderen Benutzers auszuführen.
* *Sicherheitsupdate für CVE-2021-29425*
  * Wenn in Apache Commons IO vor Version 2.7 die Methode FileNameUtils.normalize mit einer unzulässigen Eingabezeichenkette wie ''%%"//../foo" oder "\\..\foo"%%'' aufgerufen wird, ist das Ergebnis derselbe Wert, der möglicherweise den Zugriff auf Dateien im übergeordneten Verzeichnis ermöglicht, aber nicht weiter oben (also "begrenztes" Pfad-Traversal), wenn der aufrufende Code das Ergebnis verwendet, um einen Pfadwert zu konstruieren
* *Sicherheitsupdate für CVE-2021-28165*
  * In Eclipse Jetty 7.2.2 bis 9.4.38, 10.0.0.alpha0 bis 10.0.1 und 11.0.0.alpha0 bis 11.0.1 kann die CPU-Auslastung beim Empfang eines großen ungültigen TLS-Frames 100% erreichen
* *Sicherheitsupdate für CVE-2021-28169*
  * Bei Eclipse Jetty Versionen <= 9.4.40, <= 10.0.2, <= 11.0.2 ist es möglich, dass Anfragen an das ConcatServlet mit einem doppelt kodierten Pfad auf geschützte Ressourcen innerhalb des WEB-INF-Verzeichnisses zugreifen. Zum Beispiel kann eine Anfrage an `/concat?/%2557EB-INF/web.xml` die Datei web.xml abrufen. Dies kann sensible Informationen über die Implementierung einer Webanwendung offenlegen
* *Sicherheitsupdate für CVE-2021-34428*
  * Bei Eclipse Jetty-Versionen <= 9.4.40, <= 10.0.2, <= 11.0.2 wird die Sitzungs-ID im Sitzungs-ID-Manager nicht ungültig gemacht, wenn eine Ausnahme von der Methode SessionListener#sessionDestroyed() geworfen wird. Bei Implementierungen mit geclusterten Sitzungen und mehreren Kontexten kann dies dazu führen, dass eine Sitzung nicht ungültig gemacht wird. Dies kann dazu führen, dass eine Anwendung, die auf einem gemeinsam genutzten Computer verwendet wird, angemeldet bleibt.
* *Sicherheitsupdate für CVE-2021-21409*
  * Netty ist ein quelloffenes, asynchrones, ereignisgesteuertes Netzwerkanwendungs-Framework für die schnelle Entwicklung von wartbaren, leistungsstarken Protokollservern und -clients. In Netty (io.netty:netty-codec-http2) vor Version 4.1.61.Final gibt es eine Sicherheitslücke, die Request Smuggling ermöglicht. Der content-length-Header wird nicht korrekt validiert, wenn die Anfrage nur einen einzigen Http2HeaderFrame mit dem auf true gesetzten endStream verwendet. Dies kann zum Request Smuggling führen, wenn die Anfrage an eine entfernte Gegenstelle weitergeleitet und in HTTP/1.1 übersetzt wird. Dies ist eine Folgemaßnahme von GHSA-wm47-8v5p-wjpj/CVE-2021-21295, die diesen einen Fall nicht behoben hat. Dies wurde als Teil von 4.1.61.Final behoben
* *Sicherheitsupdate für CVE-2021-31812*
  * In Apache PDFBox kann eine sorgfältig erstellte PDF-Datei beim Laden der Datei eine Endlosschleife auslösen. Dieses Problem betrifft Apache PDFBox Version 2.0.23 und frühere 2.0.x-Versionen
* *Sicherheitsupdate für CVE-2021-36090*
  * Beim Lesen eines speziell gestalteten ZIP-Archivs kann Compress dazu veranlasst werden, große Mengen an Speicher zuzuweisen, was schließlich selbst bei sehr kleinen Eingaben zu einem "out of memory"-Fehler führt. Dies könnte genutzt werden, um einen Denial-of-Service-Angriff gegen Dienste zu starten, die das ZIP-Paket von Compress verwenden
* *Sicherheitsupdate für CVE-2021-35517*
  * Beim Lesen eines speziell gestalteten TAR-Archivs kann Compress dazu gebracht werden, große Mengen an Speicher zuzuweisen, was schließlich selbst bei sehr kleinen Eingaben zu einem "out of memory"-Fehler führt. Dies könnte genutzt werden, um einen Denial-of-Service-Angriff gegen Dienste zu starten, die das tar-Paket von Compress verwenden
* *Sicherheitsupdate für CVE-2021-37714*
  * jsoup ist eine Java-Bibliothek für die Arbeit mit HTML. Diejenigen, die jsoup-Versionen vor 1.14.2 verwenden, um nicht vertrauenswürdiges HTML oder XML zu parsen, können für DOS-Angriffe anfällig sein. Wenn der Parser mit Benutzereingaben ausgeführt wird, kann ein Angreifer Inhalte einspeisen, die dazu führen, dass der Parser stecken bleibt (Endlosschleife bis zum Abbruch), langsamer als gewöhnlich abgeschlossen wird oder eine unerwartete Ausnahme auslöst. Dieser Effekt kann einen Denial-of-Service-Angriff unterstützen. Das Problem wurde in Version 1.14.2 behoben. Es gibt einige verfügbare Umgehungsmöglichkeiten. Benutzer können das Parsen von Eingaben einschränken, die Größe der Eingaben basierend auf den Systemressourcen begrenzen und/oder Thread-Watchdogs implementieren, um die Parse-Laufzeiten zu begrenzen und zu unterbrechen