[general]
* The bundled Eclipse Temurin was updated to version 17.0.8
* The services of RPM and DEB use the `SystemD` format instead of the outdated `init.d` format.
* The Docker Containers have been updated to run with a restricted user instead of the root users.

[general:de]
* Das mitgelieferte Eclipse Temurin wurde auf Version 17.0.8 aktualisiert.
* Die Dienste von RPM und DEB verwenden das `SystemD`-Format anstelle des veralteten `init.d`-Formats.
* Die Docker-Container wurden aktualisiert, um mit einem eingeschränkten Benutzer anstelle des Root-Benutzers zu laufen.

[changes]
 * Eventlog entries are also written in Recovery Manager.
 * Configuration action in Login category added to reset authentication group members.
 
[changes:de]
 * Ereignis Protokoll Einträge werden auch im Recovery Manager geschrieben.
 * Konfigurations-Aktion in der Kategorie Login hinzugefügt, um Mitglieder der Authentifizierungsgruppen zurückzusetzen.

[bugfixes]

[bugfixes:de]

[security]
* *Security Update for CVE-2022-36033*
  * jsoup is a Java HTML parser, built for HTML editing, cleaning, scraping, and cross-site scripting (XSS) safety. jsoup may incorrectly sanitize HTML including `javascript:` URL expressions, which could allow XSS attacks when a reader subsequently clicks that link. If the non-default `SafeList.preserveRelativeLinks` option is enabled, HTML including `javascript:` URLs that have been crafted with control characters will not be sanitized. If the site that this HTML is published on does not set a Content Security Policy, an XSS attack is then possible. This issue is patched in jsoup 1.15.3. Users should upgrade to this version. Additionally, as the unsanitized input may have been persisted, old content should be cleaned again using the updated version. To remediate this issue without immediately upgrading: - disable `SafeList.preserveRelativeLinks`, which will rewrite input URLs as absolute URLs - ensure an appropriate [Content Security Policy](https:*developer.mozilla.org/en-US/docs/Web/HTTP/CSP) is defined. (This should be used regardless of upgrading, as a defence-in-depth best practice.)
* *Security Update for CVE-2020-13946*
  * In Apache Cassandra, all versions prior to 2.1.22, 2.2.18, 3.0.22, 3.11.8 and 4.0-beta2, it is possible for a local attacker without access to the Apache Cassandra process or configuration files to manipulate the RMI registry to perform a man-in-the-middle attack and capture user names and passwords used to access the JMX interface. The attacker can then use these credentials to access the JMX interface and perform unauthorised operations. Users should also be aware of CVE-2019-2684, a JRE vulnerability that enables this issue to be exploited remotely.
* *Security Update for CVE-2022-42003*
  * In FasterXML jackson-databind before 2.14.0-rc1, resource exhaustion can occur because of a lack of a check in primitive value deserializers to avoid deep wrapper array nesting, when the UNWRAP_SINGLE_VALUE_ARRAYS feature is enabled. Additional fix version in 2.13.4.1 and 2.12.17.1
* *Security Update for CVE-2022-31684*
  * Reactor Netty HTTP Server, in versions 1.0.11 - 1.0.23, may log request headers in some cases of invalid HTTP requests. The logged headers may reveal valid access tokens to those with access to server logs. This may affect only invalid HTTP requests where logging at WARN level is enabled.
* *Security Update for CVE-2022-41946*
  * pgjdbc is an open source postgresql JDBC Driver. In affected versions a prepared statement using either `PreparedStatement.setText(int, InputStream)` or `PreparedStatemet.setBytea(int, InputStream)` will create a temporary file if the InputStream is larger than 2k. This will create a temporary file which is readable by other users on Unix like systems, but not MacOS. On Unix like systems, the system's temporary directory is shared between all users on that system. Because of this, when files and directories are written into this directory they are, by default, readable by other users on that same system. This vulnerability does not allow other users to overwrite the contents of these directories or files. This is purely an information disclosure vulnerability. Because certain JDK file system APIs were only added in JDK 1.7, this this fix is dependent upon the version of the JDK you are using. Java 1.7 and higher users: this vulnerability is fixed in 4.5.0. Java 1.6 and lower users: no patch is available. If you are unable to patch, or are stuck running on Java 1.6, specifying the java.io.tmpdir system environment variable to a directory that is exclusively owned by the executing user will mitigate this vulnerability.
* *Security Update for CVE-2021-37533*
  * Prior to Apache Commons Net 3.9.0, Net's FTP client trusts the host from PASV response by default. A malicious server can redirect the Commons Net code to use a different host, but the user has to connect to the malicious server in the first place. This may lead to leakage of information about services running on the private network of the client. The default in version 3.9.0 is now false to ignore such hosts, as cURL does. See https:*issues.apache.org/jira/browse/NET-711.
* *Security Update for CVE-2022-23494*
  * tinymce is an open source rich text editor. A cross-site scripting (XSS) vulnerability was discovered in the alert and confirm dialogs when these dialogs were provided with malicious HTML content. This can occur in plugins that use the alert or confirm dialogs, such as in the `image` plugin, which presents these dialogs when certain errors occur. The vulnerability allowed arbitrary JavaScript execution when an alert presented in the TinyMCE UI for the current user. This vulnerability has been patched in TinyMCE 5.10.7 and TinyMCE 6.3.1 by ensuring HTML sanitization was still performed after unwrapping invalid elements. Users are advised to upgrade to either 5.10.7 or 6.3.1. Users unable to upgrade may ensure the the `images_upload_handler` returns a valid value as per the images_upload_handler documentation.
* *Security Update for CVE-2022-41915*
  * Netty project is an event-driven asynchronous network application framework. Starting in version 4.1.83.Final and prior to 4.1.86.Final, when calling `DefaultHttpHeadesr.set` with an _iterator_ of values, header value validation was not performed, allowing malicious header values in the iterator to perform HTTP Response Splitting. This issue has been patched in version 4.1.86.Final. Integrators can work around the issue by changing the `DefaultHttpHeaders.set(CharSequence, Iterator<?>)` call, into a `remove()` call, and call `add()` in a loop over the iterator of values.
* *Security Update for CVE-2023-22551*
  * The FTP (aka "Implementation of a simple FTP client and server") project through 96c1a35 allows remote attackers to cause a denial of service (memory consumption) by engaging in client activity, such as establishing and then terminating a connection. This occurs because malloc is used but free is not.
* *Security Update for CVE-2023-24998*
  * Apache Commons FileUpload before 1.5 does not limit the number of request parts to be processed resulting in the possibility of an attacker triggering a DoS with a malicious upload or series of uploads. Note that, like all of the file upload limits, the new configuration option (FileUploadBase#setFileCountMax) is not enabled by default and must be explicitly configured.
* *Security Update for CVE-2022-45688*
  * A stack overflow in the XML.toJSONObject component of hutool-json v5.8.10 allows attackers to cause a Denial of Service (DoS) via crafted JSON or XML data.
* *Security Update for CVE-2022-45688*
  * Jetty is a java based web server and servlet engine. Nonstandard cookie parsing in Jetty may allow an attacker to smuggle cookies within other cookies, or otherwise perform unintended behavior by tampering with the cookie parsing mechanism. If Jetty sees a cookie VALUE that starts with `"` (double quote), it will continue to read the cookie string until it sees a closing quote -- even if a semicolon is encountered. So, a cookie header such as: `DISPLAY_LANGUAGE="b; JSESSIONID=1337; c=d"` will be parsed as one cookie, with the name DISPLAY_LANGUAGE and a value of b; JSESSIONID=1337; c=d instead of 3 separate cookies. This has security implications because if, say, JSESSIONID is an HttpOnly cookie, and the DISPLAY_LANGUAGE cookie value is rendered on the page, an attacker can smuggle the JSESSIONID cookie into the DISPLAY_LANGUAGE cookie and thereby exfiltrate it. This is significant when an intermediary is enacting some policy based on cookies, so a smuggled cookie can bypass that policy yet still be seen by the Jetty server or its logging system. This issue has been addressed in versions 9.4.51, 10.0.14, 11.0.14, and 12.0.0.beta0 and users are advised to upgrade. There are no known workarounds for this issue.
* *Security Update for CVE-2024-30172*
  * ** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.

[security:de]
* *Sicherheitsupdate für CVE-2022-36033*
  * jsoup ist ein Java-HTML-Parser, der für HTML-Bearbeitung, Bereinigung, Scraping und Cross-Site-Scripting (XSS)-Sicherheit gebaut wurde. jsoup kann HTML mit `javascript:`-URL-Ausdrücken falsch bereinigen, was XSS-Angriffe ermöglichen könnte, wenn ein Leser anschließend auf diesen Link klickt. Wenn die nicht standardmäßige Option `SafeList.preserveRelativeLinks` aktiviert ist, wird HTML, das `javascript:` URLs enthält, die mit Steuerzeichen erstellt wurden, nicht bereinigt. Wenn die Website, auf der dieses HTML veröffentlicht wird, keine Content Security Policy einstellt, ist ein XSS-Angriff möglich. Dieses Problem wurde in jsoup 1.15.3 behoben. Benutzer sollten auf diese Version aktualisieren. Da die nicht sanitisierten Eingaben möglicherweise erhalten geblieben sind, sollten alte Inhalte mit der aktualisierten Version erneut bereinigt werden. Um dieses Problem zu beheben, ohne sofort zu aktualisieren: - deaktivieren Sie `SafeList.preserveRelativeLinks`, wodurch Eingabe-URLs als absolute URLs umgeschrieben werden - Stellen Sie sicher, dass eine geeignete [Content Security Policy](https:*developer.mozilla.org/en-US/docs/Web/HTTP/CSP) definiert ist. (Dies sollte unabhängig von der Aktualisierung als beste Verteidigungspraxis verwendet werden)
* *Sicherheitsupdate für CVE-2020-13946*
  * In Apache Cassandra, allen Versionen vor 2.1.22, 2.2.18, 3.0.22, 3.11.8 und 4.0-beta2, ist es für einen lokalen Angreifer ohne Zugriff auf den Apache Cassandra-Prozess oder die Konfigurationsdateien möglich, die RMI-Registrierung zu manipulieren, um einen Man-in-the-Middle-Angriff durchzuführen und Benutzernamen und Kennwörter für den Zugriff auf die JMX-Schnittstelle zu erfassen. Der Angreifer kann dann diese Anmeldeinformationen verwenden, um auf die JMX-Schnittstelle zuzugreifen und nicht autorisierte Operationen durchzuführen. Benutzer sollten sich auch über CVE-2019-2684 informieren, eine JRE-Schwachstelle, die es ermöglicht, dieses Problem aus der Ferne auszunutzen.
* *Sicherheitsupdate für CVE-2022-42003*
  * In FasterXML jackson-databind vor 2.14.0-rc1 kann es zu einer Erschöpfung der Ressourcen kommen, weil in Deserialisierern für primitive Werte eine Prüfung fehlt, um eine tiefe Verschachtelung von Wrapper-Arrays zu vermeiden, wenn die Funktion UNWRAP_SINGLE_VALUE_ARRAYS aktiviert ist. Zusätzliche Korrekturversion in 2.13.4.1 und 2.12.17.1
* *Sicherheitsupdate für CVE-2022-31684*
  * Der Reactor Netty HTTP Server, in den Versionen 1.0.11 - 1.0.23, kann in einigen Fällen von ungültigen HTTP-Anfragen Anfrage-Header protokollieren. Die protokollierten Header können denjenigen, die Zugriff auf die Serverprotokolle haben, gültige Zugriffstoken offenbaren. Dies kann nur ungültige HTTP-Anfragen betreffen, bei denen die Protokollierung auf WARN-Ebene aktiviert ist.
* *Sicherheitsupdate für CVE-2022-41946*
  * pgjdbc ist ein quelloffener Postgresql-JDBC-Treiber. In den betroffenen Versionen erstellt eine vorbereitete Anweisung, die entweder `PreparedStatement.setText(int, InputStream)` oder `PreparedStatemet.setBytea(int, InputStream)` verwendet, eine temporäre Datei, wenn der InputStream größer als 2k ist. Dadurch wird eine temporäre Datei erstellt, die auf Unix-ähnlichen Systemen von anderen Benutzern gelesen werden kann, nicht aber unter MacOS. Auf Unix-ähnlichen Systemen wird das temporäre Verzeichnis des Systems von allen Benutzern auf diesem System gemeinsam genutzt. Wenn also Dateien und Verzeichnisse in dieses Verzeichnis geschrieben werden, sind sie standardmäßig für andere Benutzer desselben Systems lesbar. Diese Sicherheitsanfälligkeit ermöglicht es anderen Benutzern nicht, den Inhalt dieser Verzeichnisse oder Dateien zu überschreiben. Es handelt sich um eine reine Informationsoffenlegungsschwachstelle. Da bestimmte JDK-Dateisystem-APIs erst in JDK 1.7 hinzugefügt wurden, hängt die Behebung dieser Schwachstelle von der Version des JDK ab, die Sie verwenden. Benutzer von Java 1.7 und höher: Diese Sicherheitslücke ist in 4.5.0 behoben. Benutzer von Java 1.6 und niedriger: Es ist kein Patch verfügbar. Wenn Sie keinen Patch finden oder mit Java 1.6 arbeiten, können Sie diese Schwachstelle beheben, indem Sie die Systemumgebungsvariable java.io.tmpdir auf ein Verzeichnis setzen, das ausschließlich dem ausführenden Benutzer gehört.
* *Sicherheitsupdate für CVE-2021-37533*
  * Vor Apache Commons Net 3.9.0 vertraute der FTP-Client von Net standardmäßig dem Host aus der PASV-Antwort. Ein bösartiger Server kann den Commons Net-Code umleiten, um einen anderen Host zu verwenden, aber der Benutzer muss sich erst mit dem bösartigen Server verbinden. Dies kann dazu führen, dass Informationen über Dienste, die im privaten Netzwerk des Clients laufen, preisgegeben werden. Die Voreinstellung in Version 3.9.0 ist nun false, um solche Hosts zu ignorieren, wie es cURL tut. Siehe https:*issues.apache.org/jira/browse/NET-711.
* *Sicherheitsupdate für CVE-2022-23494*
  * tinymce ist ein Open-Source-Rich-Text-Editor. Eine Cross-Site-Scripting (XSS)-Schwachstelle wurde in den Warn- und Bestätigungsdialogen entdeckt, wenn diese Dialoge mit bösartigen HTML-Inhalten versehen wurden. Dies kann in Plugins auftreten, die die Warn- oder Bestätigungsdialoge verwenden, wie z.B. im `image`-Plugin, das diese Dialoge präsentiert, wenn bestimmte Fehler auftreten. Die Schwachstelle ermöglichte die Ausführung von beliebigem JavaScript, wenn eine Warnung in der TinyMCE-Benutzeroberfläche für den aktuellen Benutzer angezeigt wurde. Diese Schwachstelle wurde in TinyMCE 5.10.7 und TinyMCE 6.3.1 gepatcht, indem sichergestellt wurde, dass die HTML-Sanitisierung auch nach dem Entpacken ungültiger Elemente durchgeführt wurde. Benutzern wird empfohlen, entweder auf 5.10.7 oder 6.3.1 zu aktualisieren. Benutzer, die nicht upgraden können, können sicherstellen, dass der `images_upload_handler` einen gültigen Wert gemäß der images_upload_handler-Dokumentation zurückgibt.
* *Sicherheitsupdate für CVE-2022-41915*
  * Das Netty-Projekt ist ein ereignisgesteuertes, asynchrones Netzwerkanwendungs-Framework. Ab Version 4.1.83.Final und vor 4.1.86.Final wurde beim Aufruf von `DefaultHttpHeadesr.set` mit einem _Iterator_ von Werten keine Validierung der Header-Werte durchgeführt, so dass bösartige Header-Werte im Iterator HTTP Response Splitting durchführen konnten. Dieses Problem wurde in Version 4.1.86.Final behoben. Integratoren können das Problem umgehen, indem sie den Aufruf `DefaultHttpHeaders.set(CharSequence, Iterator<?>)` in einen `remove()`-Aufruf ändern und `add()` in einer Schleife über den Iterator der Werte aufrufen.
* *Sicherheitsupdate für CVE-2023-22551*
  * Das FTP-Projekt (auch bekannt als "Implementierung eines einfachen FTP-Clients und -Servers") über 96c1a35 ermöglicht es entfernten Angreifern, eine Dienstverweigerung (Speicherverbrauch) zu verursachen, indem sie Client-Aktivitäten durchführen, wie z. B. den Aufbau und die anschließende Beendigung einer Verbindung. Dies geschieht, weil malloc verwendet wird, free jedoch nicht.
* *Sicherheitsupdate für CVE-2023-24998*
  * Apache Commons FileUpload vor 1.5 begrenzt nicht die Anzahl der zu verarbeitenden Anfrageteile, was dazu führt, dass ein Angreifer mit einem bösartigen Upload oder einer Reihe von Uploads einen DoS auslösen kann. Beachten Sie, dass die neue Konfigurationsoption (FileUploadBase#setFileCountMax), wie alle Begrenzungen für das Hochladen von Dateien, nicht standardmäßig aktiviert ist und explizit konfiguriert werden muss.
* *Sicherheitsupdate für CVE-2022-45688*
  * Ein Stapelüberlauf in der Komponente XML.toJSONObject von hutool-json v5.8.10 ermöglicht es Angreifern, über manipulierte JSON- oder XML-Daten einen Denial of Service (DoS) zu verursachen.
* *Sicherheitsupdate für CVE-2022-45688*
  * Jetty ist ein javabasierter Webserver und eine Servlet-Engine. Die nicht standardmäßige Cookie-Analyse in Jetty kann es einem Angreifer ermöglichen, Cookies in andere Cookies einzuschleusen oder auf andere Weise ein unbeabsichtigtes Verhalten auszuführen, indem er den Mechanismus der Cookie-Analyse manipuliert. Wenn Jetty einen Cookie-WERT sieht, der mit `"` (Anführungszeichen) beginnt, liest es die Cookie-Zeichenfolge so lange, bis es ein schließendes Anführungszeichen sieht - selbst wenn ein Semikolon auftaucht. Also, ein Cookie-Header wie: `DISPLAY_LANGUAGE="b; JSESSIONID=1337; c=d"` als ein Cookie mit dem Namen DISPLAY_LANGUAGE und einem Wert von b; JSESSIONID=1337; c=d anstelle von drei separaten Cookies analysiert. Dies hat Auswirkungen auf die Sicherheit, denn wenn z. B. JSESSIONID ein HttpOnly-Cookie ist und der DISPLAY_LANGUAGE-Cookie-Wert auf der Seite gerendert wird, kann ein Angreifer den JSESSIONID-Cookie in den DISPLAY_LANGUAGE-Cookie schmuggeln und ihn so exfiltrieren. Dies ist von Bedeutung, wenn ein Vermittler eine auf Cookies basierende Richtlinie durchführt, so dass ein eingeschmuggelter Cookie diese Richtlinie umgehen kann und dennoch vom Jetty-Server oder seinem Protokollierungssystem gesehen wird. Dieses Problem wurde in den Versionen 9.4.51, 10.0.14, 11.0.14 und 12.0.0.beta0 behoben und es wird empfohlen, ein Upgrade durchzuführen. Es gibt keine bekannten Umgehungsmöglichkeiten für dieses Problem.
* *Sicherheitsupdate für CVE-2024-30172*
  * ** RESERVIERT ** Dieser Kandidat wurde von einer Organisation oder Person reserviert, die ihn bei der Ankündigung eines neuen Sicherheitsproblems verwenden wird. Sobald der Kandidat veröffentlicht wurde, werden die Details für diesen Kandidaten zur Verfügung gestellt.
  