[general]
* This version marks an LTS release, the last in which Java 11 is supported.
* The bundled Eclipse Temurin Java VM was updated to version 17.0.16.

[general:de]
* Diese Version ist eine LTS-Version, die letzte, in der Java 11 unterstützt wird.
* Die mitgelieferte Eclipse Temurin Java VM wurde auf Version 17.0.16 aktualisiert.

[changes]
* When searching "Date field:<date", the day of the date is no longer included in the search result.
* Added DynamoDB persistence property TablePrefix.
* All web server responses with a status code of 400 or higher are stored in an additional event log. They can be checked with the statistics and diagnostics plugins.
* The order of authentication providers without settings can be changed in the Configuration Manager.
* Added `security.txt` configuration option. The content of this option will be sent to clients requesting the `/.well-known/security.txt` file.
* The guest account no longer has administrative permissions for security reasons, even if there are no restrictions on permissions (systempermission.enabled=false). Administrative permissions of the guest account must be explicitly activated if required (guest.full.permissions=true).
* Does not override the system property "javax.net.ssl.trustStoreType" if already set.

[changes:de]
* Bei einer Suche "Datumsfeld:<Datum" wird der Tag des Datums nicht mehr ins Suchergebnis mit einbezogen.
* DynamoDB-Persistenz Property TablePrefix hinzugefügt.
* Alle Antworten des Webservers mit einem Statuscode von 400 oder höher werden in einem zusätzliches Ereignisprotokoll hinterlegt. Sie können mit den Statistiken- und Diagnose-Plugins ausgewertet werden.
* Die Reihenfolge der Authentifizierungsanbieter ohne Einstellungen kann im Konfigurationsmanager geändert werden.
* Konfigurationsoption `security.txt` hinzugefügt. Der Inhalt dieser Option wird an Clients gesendet, die die Datei `/.well-known/security.txt` anfordern.
* Das Gastkonto hat aus Sicherheitsgründen keine administrative Berechtigungen mehr, auch wenn es keine Einschränkungen der Berechtigungen gibt (systempermission.enabled=false). Administrative Berechtigungen des Gastkontos müssen bei Bedarf explicit aktiviert werden (guest.full.permissions=true).
* Überschreibt nicht die System-Property "javax.net.ssl.trustStoreType", wenn diese bereits gesetzt ist.

[bugfixes]
* Fixes broken Digist authentication with Chrome browser.

[bugfixes:de]
* Fixt fehlerhafte Digist-Authentifizierung mit Chrome-Browser.

[security]
* *Security Update for CVE-2023-35116*
  * An issue was discovered jackson-databind thru 2.15.2 allows attackers to cause a denial of service or other unspecified impacts via crafted object that uses cyclic dependencies.
* *Security Update for CVE-2018-1002208*
  * SharpZipLib before 1.0 RC1 is vulnerable to directory traversal, allowing attackers to write to arbitrary files via a ../ (dot dot slash) in a Zip archive entry that is mishandled during extraction. This vulnerability is also known as 'Zip-Slip'.
* *Security Update for CVE-2021-32840*
  * SharpZipLib is a Zip, GZip, Tar and BZip2 library. Prior to version 1.3.3, a TAR file entry `../evil.txt` may be extracted in the parent directory of `destFolder`. This leads to arbitrary file write that may lead to code execution. The vulnerability was patched in version 1.3.3.
* *Security Update for CVE-2023-5072*
  * Denial of Service  in JSON-Java versions up to and including 20230618.  A bug in the parser means that an input string of modest size can lead to indefinite amounts of memory being used. 
* *Security Update for CVE-2023-44487*
  * The HTTP/2 protocol allows a denial of service (server resource consumption) because request cancellation can reset many streams quickly, as exploited in the wild in August through October 2023.
* *Security Update for CVE-2023-22102*
  * Vulnerability in the MySQL Connectors product of Oracle MySQL (component: Connector/J).  Supported versions that are affected are 8.1.0 and prior. Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise MySQL Connectors.  Successful attacks require human interaction from a person other than the attacker and while the vulnerability is in MySQL Connectors, attacks may significantly impact additional products (scope change). Successful attacks of this vulnerability can result in takeover of MySQL Connectors. CVSS 3.1 Base Score 8.3 (Confidentiality, Integrity and Availability impacts).  CVSS Vector: (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H).
* *Security Update for CVE-2023-34062*
  * In Reactor Netty HTTP Server, versions 1.1.x prior to 1.1.13 and versions 1.0.x prior to 1.0.39, a malicious user can send a request using a specially crafted URL that can lead to a directory traversal attack.
  * Specifically, an application is vulnerable if Reactor Netty HTTP Server is configured to serve static resources.
* *Security Update for CVE-2024-25710*
  * Loop with Unreachable Exit Condition ('Infinite Loop') vulnerability in Apache Commons Compress.This issue affects Apache Commons Compress: from 1.3 through 1.25.0.
* *Security Update for CVE-2024-22201*
  * Jetty is a Java based web server and servlet engine. An HTTP/2 SSL connection that is established and TCP congested will be leaked when it times out. An attacker can cause many connections to end up in this state, and the server may run out of file descriptors, eventually causing the server to stop accepting new connections from valid clients. The vulnerability is patched in 9.4.54, 10.0.20, 11.0.20, and 12.0.6.
* *Security Update for CVE-2023-51775*
  * The jose4j component before 0.9.4 for Java allows attackers to cause a denial of service (CPU consumption) via a large p2c (aka PBES2 Count) value.
* *Security Update for CVE-2024-30172*
  * ** RESERVED ** This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided.

[security:de]
* *Sicherheitsupdate für CVE-2023-35116*
  * Ein Problem wurde entdeckt, dass jackson-databind bis 2.15.2 Angreifern erlaubt, einen Denial-of-Service oder andere nicht spezifizierte Auswirkungen über ein manipuliertes Objekt, das zyklische Abhängigkeiten verwendet, zu verursachen.
* *Sicherheitsupdate für CVE-2018-1002208*
  * SharpZipLib vor 1.0 RC1 ist anfällig für Directory Traversal, wodurch Angreifer über einen ../ (dot dot slash) in einem Zip-Archiv-Eintrag, der während der Extraktion falsch behandelt wird, in beliebige Dateien schreiben können. Diese Sicherheitslücke ist auch als 'Zip-Slip' bekannt.
* *Sicherheitsupdate für CVE-2021-32840*
  * SharpZipLib ist eine Zip-, GZip-, Tar- und BZip2-Bibliothek. Vor Version 1.3.3 kann ein TAR-Dateieintrag `../evil.txt` in das übergeordnete Verzeichnis von `destFolder` extrahiert werden. Dies führt zum Schreiben beliebiger Dateien, was zur Codeausführung führen kann. Die Sicherheitslücke wurde in Version 1.3.3 gepatcht.
* *Sicherheitsupdate für CVE-2023-5072*.
  * Denial of Service in JSON-Java-Versionen bis einschließlich 20230618.  Ein Fehler im Parser bedeutet, dass eine Eingabezeichenkette von bescheidener Größe dazu führen kann, dass eine unbestimmte Menge an Speicher verwendet wird. 
* *Sicherheitsupdate für CVE-2023-44487*
  * Das HTTP/2-Protokoll ermöglicht eine Dienstverweigerung (Verbrauch von Server-Ressourcen), da die Stornierung von Anfragen viele Streams schnell zurücksetzen kann, wie im August bis Oktober 2023 in freier Wildbahn ausgenutzt wurde.
* *Sicherheitsupdate für CVE-2023-22102*
  * Sicherheitslücke im Produkt MySQL Connectors von Oracle MySQL (Komponente: Connector/J).  Unterstützte Versionen, die betroffen sind, sind 8.1.0 und früher. Die schwer auszunutzende Schwachstelle ermöglicht es nicht authentifizierten Angreifern mit Netzwerkzugang über mehrere Protokolle, MySQL Connectors zu kompromittieren.  Erfolgreiche Angriffe erfordern menschliche Interaktion von einer anderen Person als dem Angreifer. Während die Schwachstelle in MySQL Connectors auftritt, können Angriffe erhebliche Auswirkungen auf weitere Produkte haben (Änderung des Anwendungsbereichs). Erfolgreiche Angriffe auf diese Schwachstelle können zu einer Übernahme der MySQL-Konnektoren führen. CVSS 3.1 Base Score 8.3 (Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit).  CVSS-Vektor: (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H).
* *Sicherheitsupdate für CVE-2023-34062*
  * In Reactor Netty HTTP Server, Versionen 1.1.x vor 1.1.13 und Versionen 1.0.x vor 1.0.39, kann ein böswilliger Benutzer eine Anfrage mit einer speziell gestalteten URL senden, die zu einem Directory Traversal Angriff führen kann.
  * Konkret ist eine Anwendung verwundbar, wenn der Reactor Netty HTTP Server so konfiguriert ist, dass er statische Ressourcen bereitstellt.
* *Sicherheitsupdate für CVE-2024-25710*
  * Schleife mit unerreichbarer Exit-Bedingung ('Endlosschleife') in Apache Commons Compress: Dieses Problem betrifft Apache Commons Compress: von 1.3 bis 1.25.0.
* *Sicherheitsupdate für CVE-2024-22201*
  * Jetty ist ein Java-basierter Webserver und eine Servlet-Engine. Eine HTTP/2-SSL-Verbindung, die aufgebaut wird und bei der TCP überlastet ist, wird durchlässig, wenn die Zeit abgelaufen ist. Ein Angreifer kann bewirken, dass viele Verbindungen in diesem Zustand enden und dem Server die Dateideskriptoren ausgehen, was schließlich dazu führt, dass der Server keine neuen Verbindungen von gültigen Clients mehr annimmt. Die Sicherheitslücke ist in 9.4.54, 10.0.20, 11.0.20 und 12.0.6 gepatcht.
* *Sicherheitsupdate für CVE-2023-51775*
  * Die jose4j-Komponente vor 0.9.4 für Java ermöglicht es Angreifern, einen Denial-of-Service (CPU-Verbrauch) über einen großen p2c (aka PBES2 Count)-Wert zu verursachen.
* *Sicherheitsupdate für CVE-2024-30172*
  * ** RESERVIERT ** Dieser Kandidat wurde von einer Organisation oder Person reserviert, die ihn bei der Ankündigung eines neuen Sicherheitsproblems verwenden wird. Sobald der Kandidat veröffentlicht wurde, werden die Details für diesen Kandidaten zur Verfügung gestellt.
