[changes]
* The bundled AdoptOpenJDK 17 was updated to Eclipse Temurin Java VM 17.0.4.1.
* Two factor authentication supported.
* Prevent side load of plugins for wrong application version.
* It is now supported to use Web-Push notifications.
* MeetUp has grown up, is called i-net CoWork and is now also available as a separate product.

[changes:de]
* Das mitgelieferte AdoptOpenJDK 17 wurde auf Eclipse Temurin Java VM 17.0.4.1 aktualisiert.
* Zwei-Faktor-Authentifizierung wird unterstützt.
* Verhindert das seitliche Laden von Plugins für falsche Anwendungsversionen.
* Die Verwendung von Web-Push-Benachrichtigungen wird nun unterstützt.
* MeetUp ist erwachsen geworden, heißt jetzt i-net CoWork und ist nun auch als separates Produkt erhältlich.

[bugfixes]
 * Fixed a bug breaking the User Manager web interface if the country of the server is not valid.
 * Fixed a bug with searching digits and number data types which has produce the error: `IllegalArgumentException: Empty left and right operand in search condition`
 * Fixed a deadlock with OpenJ9 Java VM when starting the server via API.

[bugfixes:de]
 * Es wurde ein Fehler behoben, der die Webschnittstelle des Benutzermanagers beschädigte, wenn das Land des Servers nicht gültig war.
 * Es wurde ein Fehler bei der Suche nach Ziffern und Zahlendatentypen behoben, der die Fehlermeldung `IllegalArgumentException: Empty left and right operand in search condition`
 * Behebung eines Deadlocks mit OpenJ9 Java VM beim Starten des Servers über API.

[security]
* Fixed a thread bug that allowed a user to run single requests in another users security context.
* *Security Update for CVE-2021-37136*
  * The Bzip2 decompression decoder function doesn't allow setting size restrictions on the decompressed output data (which affects the allocation size used during decompression). All users of Bzip2Decoder are affected. The malicious input can trigger an OOME and so a DoS attack.
* *Security Update for CVE-2021-37137*
  * The Snappy frame decoder function doesn't restrict the chunk length which may lead to excessive memory usage. Beside this it also may buffer reserved skippable chunks until the whole chunk was received which may lead to excessive memory usage as well. This vulnerability can be triggered by supplying malicious input that decompresses to a very big size (via a network stream or a file) or by sending a huge skippable chunk.
* *Security Update for CVE-2020-21913*
  * International Components for Unicode (ICU-20850) v66.1 was discovered to contain a use after free bug in the pkg_createWithAssemblyCode function in the file tools/pkgdata/pkgdata.cpp.
* *Security Update for CVE-2021-4126*
  * No information available.
* *Security Update for CVE-2021-43797*
  * Netty is an asynchronous event-driven network application framework for rapid development of maintainable high performance protocol servers & clients. Netty prior to version 4.1.71.Final skips control chars when they are present at the beginning / end of the header name. It should instead fail fast as these are not allowed by the spec and could lead to HTTP request smuggling. Failing to do the validation might cause netty to "sanitize" header names before it forward these to another remote system when used as proxy. This remote system can't see the invalid usage anymore, and therefore does not do the validation itself. Users should upgrade to version 4.1.71.Final.
* *Security Update for CVE-2021-41182*
  * jQuery-UI is the official jQuery user interface library. Prior to version 1.13.0, accepting the value of the `altField` option of the Datepicker widget from untrusted sources may execute untrusted code. The issue is fixed in jQuery UI 1.13.0. Any string value passed to the `altField` option is now treated as a CSS selector. A workaround is to not accept the value of the `altField` option from untrusted sources.
* *Security Update for CVE-2021-41183*
  * jQuery-UI is the official jQuery user interface library. Prior to version 1.13.0, accepting the value of various `*Text` options of the Datepicker widget from untrusted sources may execute untrusted code. The issue is fixed in jQuery UI 1.13.0. The values passed to various `*Text` options are now always treated as pure text, not HTML. A workaround is to not accept the value of the `*Text` options from untrusted sources.
* *Security Update for CVE-2021-41184*
  * jQuery-UI is the official jQuery user interface library. Prior to version 1.13.0, accepting the value of the `of` option of the `.position()` util from untrusted sources may execute untrusted code. The issue is fixed in jQuery UI 1.13.0. Any string value passed to the `of` option is now treated as a CSS selector. A workaround is to not accept the value of the `of` option from untrusted sources.
* *Security Update for CVE-2020-36518*
  * jackson-databind before 2.13.0 allows a Java StackOverflow exception and denial of service via a large depth of nested objects.
* *Security Update for CVE-2022-24785 and CVE-2022-31129*
  * Upgraded library momentjs to version 2.29.4.
  
[security:de]
* Ein Thread-Fehler wurde behoben, der es einem Benutzer ermöglichte, einzelne Anfragen im Sicherheitskontext eines anderen Benutzers auszuführen.
* *Sicherheitsupdate für CVE-2021-37136*
  * Die Dekomprimierungsfunktion Bzip2Decoder erlaubt es nicht, Größenbeschränkungen für die dekomprimierten Ausgabedaten festzulegen (was sich auf die bei der Dekomprimierung verwendete Allokationsgröße auswirkt). Alle Benutzer von Bzip2Decoder sind davon betroffen. Die bösartige Eingabe kann einen OOME und damit einen DoS-Angriff auslösen.
* *Sicherheitsupdate für CVE-2021-37137*
  * Die Snappy-Frame-Decoder-Funktion schränkt die Chunk-Länge nicht ein, was zu einer übermäßigen Speichernutzung führen kann. Außerdem kann sie reservierte, überspringbare Chunks puffern, bis der gesamte Chunk empfangen wurde, was ebenfalls zu einer übermäßigen Speichernutzung führen kann. Diese Schwachstelle kann durch eine böswillige Eingabe ausgelöst werden, die zu einer sehr großen Größe dekomprimiert wird (über einen Netzwerk-Stream oder eine Datei) oder durch das Senden eines großen überspringbaren Chunks.
* *Sicherheitsupdate für CVE-2020-21913*
  * International Components for Unicode (ICU-20850) v66.1 enthält einen Use-After-Free-Fehler in der Funktion pkg_createWithAssemblyCode in der Datei tools/pkgdata/pkgdata.cpp.
* *Sicherheitsupdate für CVE-2021-4126*
  * Keine Informationen verfügbar.
* *Sicherheitsupdate für CVE-2021-43797*
  * Netty ist ein asynchrones, ereignisgesteuertes Netzwerkanwendungs-Framework für die schnelle Entwicklung von wartbaren, leistungsstarken Protokollservern und -clients. Netty vor Version 4.1.71.Final überspringt Steuerzeichen, wenn sie am Anfang/Ende des Headernamens vorhanden sind. Es sollte stattdessen schnell fehlschlagen, da diese von der Spezifikation nicht erlaubt sind und zu HTTP-Anfrage-Schmuggel führen könnten. Wenn die Validierung nicht durchgeführt wird, könnte Netty die Header-Namen "bereinigen", bevor es diese an ein anderes entferntes System weiterleitet, wenn es als Proxy verwendet wird. Dieses entfernte System kann die ungültige Verwendung nicht mehr sehen und führt daher die Validierung nicht selbst durch. Benutzer sollten auf die Version 4.1.71.Final aktualisieren.
* *Sicherheitsupdate für CVE-2021-41182*
  * jQuery-UI ist die offizielle jQuery-Benutzeroberflächenbibliothek. Vor Version 1.13.0 konnte das Akzeptieren des Wertes der Option `altField` des Datepicker-Widgets aus nicht vertrauenswürdigen Quellen nicht vertrauenswürdigen Code ausführen. Das Problem wurde in jQuery UI 1.13.0 behoben. Jeder String-Wert, der an die Option `altField` übergeben wird, wird nun als CSS-Selektor behandelt. Ein Workaround besteht darin, den Wert der Option `altField` nicht aus nicht vertrauenswürdigen Quellen zu akzeptieren.
* *Sicherheitsupdate für CVE-2021-41183*
  * jQuery-UI ist die offizielle jQuery-Bibliothek für Benutzeroberflächen. Vor Version 1.13.0 konnte das Akzeptieren des Wertes verschiedener `*Text`-Optionen des Datepicker-Widgets aus nicht vertrauenswürdigen Quellen nicht vertrauenswürdigen Code ausführen. Das Problem wurde in jQuery UI 1.13.0 behoben. Die an verschiedene `*Text`-Optionen übergebenen Werte werden nun immer als reiner Text und nicht als HTML behandelt. Ein Workaround besteht darin, den Wert der `*Text`-Optionen nicht aus nicht vertrauenswürdigen Quellen zu akzeptieren.
* *Sicherheitsupdate für CVE-2021-41184*
  * jQuery-UI ist die offizielle jQuery-Benutzeroberflächenbibliothek. Vor Version 1.13.0 konnte die Annahme des Wertes der Option `of` der Option `.position()` aus nicht vertrauenswürdigen Quellen nicht vertrauenswürdigen Code ausführen. Das Problem ist in jQuery UI 1.13.0 behoben. Jeder String-Wert, der an die Option "of" übergeben wird, wird nun als CSS-Selektor behandelt. Eine Abhilfe besteht darin, den Wert der Option "of" aus nicht vertrauenswürdigen Quellen nicht zu akzeptieren.
* *Sicherheitsupdate für CVE-2020-36518*
  * jackson-databind vor 2.13.0 ermöglicht eine Java-StackOverflow-Ausnahme und eine Dienstverweigerung über eine große Tiefe von verschachtelten Objekten.
* *Sicherheitsupdate für CVE-2022-24785 und CVE-2022-31129*
  * Aktualisierung der Bibliothek momentjs auf Version 2.29.4.
