Skip to content

GovWay v3.3.16

Latest
Latest
Compare
Choose a tag to compare
@andreapoli andreapoli released this 04 Feb 18:33
· 1 commit to master since this release
3.3.16
b390673

Miglioramenti alla gestione dei Certificati X.509

La funzionalità di validazione dei certificati tramite lista di revoca (CRL) è stata ampliata per consentire il download della CRL specificata nell'estensione 'CRLDistributionPoints' anche tramite il protocollo LDAP, oltre ai protocolli HTTP già precedentemente supportati.

Miglioramenti alla funzionalità di Autenticazione

Il gestore delle credenziali, utilizzabile per l'autenticazione dei certificati client ottenuti tramite header HTTP, supporta adesso la possibilità di interpretare un header valorizzato con una stringa vuota come indicazione che il fruitore non ha presentato alcun certificato client.

Miglioramenti alla funzionalità di Gestione dei Token

Aggiunto un criterio di tolleranza per la validazione del claim 'nbf' nei token di sicurezza ModI e nei token validati tramite Token Policy.
La tolleranza predefinita è impostata a 5 secondi, con la possibilità di personalizzarla tramite la configurazione di GovWay.

Miglioramenti alla funzionalità di Validazione dei Contenuti

La funzionalità di validazione dei contenuti tramite OpenAPI è stata modificata per garantire che i payload contenenti elementi 'date-time' non conformi a RFC 3339 (#section-5.6), come caratteri minuscoli (t, z) o spazi (' ') al posto del separatore T, vengano rifiutati.

Prima della modifica tali formati venivano accettati nei payload ma non negli header, nei parametri delle URL e nei path; adesso la validazione è uniforme su tutte le sorgenti.

È stata inoltre introdotta una configurazione parametrica che consente, se necessario, di ripristinare l'accettazione di formati non conformi.

Miglioramenti alla funzionalità di RateLimiting

Aggiunta una nuova metrica utilizzabile nelle politiche di Rate Limiting: "Numero Richieste Completate con Successo o Fault Applicativi".

Inoltre il controllo attuato dalla policy di rate limiting per dimensione messaggio è stato ottimizzato per utilizzare il valore dell'header HTTP 'Content-Length' se presente.

Infine nella funzionalità di controllo del traffico con sincronizzazione distribuita tramite hazelcast, è stato introdotto un meccanismo di recupero in caso di eccezione 'DistributedObjectDestroyedException' che può avvenire in casi limite in configurazioni del cluster che non utilizzano il CP Subsystem. Nell'intervento è stato reso configurabile il sistema di diagnostica di hazelcast e la validazione della configurazione utilizzata.

Miglioramenti alla funzionalità dei Connettori

Aggiunto un nuovo tipo di connettore, selezionabile tramite configurazione avanzata, che implementa la verifica dello stato di un servizio. Il nuovo connettore può essere utilizzato per supportare direttamente su GovWay la risorsa '/status' richiesta dalle linee guida ModI, nel caso in cui questa non sia nativamente disponibile nel backend dell'API.

Miglioramenti alla funzionalità di Trasformazione

In presenza di messaggi SOAPWithAttachments, è adesso possibile utilizzare una trasformazione per forzare la generazione del parametro 'start' nel Content-Type.

Miglioramenti al Profilo di Interoperabilità 'ModI'

Migliorata la gestione della registrazione di repository multipli delle chiavi PDND e/o di utilizzo di client interop differenti in ambiente Multi-Tenant:

  • i repository multipli vengono ora rilevati automaticamente nella console di gestione e nei timer dedicati alla gestione delle interazioni con la PDND, eliminando la necessità di attivazione manuale nelle configurazioni dei vari tool;
  • la proprietà 'remoteStore.pdnd.baseUrl' può ora essere definita utilizzando esclusivamente la base URL, senza il suffisso '/keys';
  • aggiunti ulteriori criteri di personalizzazione per le configurazioni Multi-Tenant.

È stata inoltre risolta un'anomalia nella funzionalità ModI relativa all'imbustamento delle fruizioni per applicativi identificati tramite autenticazione interna di tipo 'token'. Il keystore definito nell'applicativo non veniva correttamente utilizzato, generando le seguenti segnalazioni di errore:

  • in caso di token generati senza PDND:

    "Il profilo di sicurezza richiesto 'idam01' richiede l'identificazione di un applicativo".

  • in caso di negoziazione del token tramite PDND:

    "Il tipo di keystore indicato nella token policy 'PDND' richiede l'autenticazione e l'identificazione di un applicativo fruitore: Servizio applicativo anonimo".

Miglioramenti alla Console di Gestione

Migliorata l'usabilità con l'introduzione della funzionalità di copia negli appunti al passaggio del mouse su campi specifici, come ad esempio "URL Invocazione" e "Connettore" delle erogazioni o fruizioni.

Inoltre nella sezione "runtime" è stata introdotta la possibilità di effettuare il refresh della pagina mantenendo l'utente nella stessa sezione in cui è stato effettuato il refresh.

Bug Fix

Sono state risolte le seguenti vulnerabilità relative alle librerie di terza parte:

  • CVE-2025-23184:

    • aggiornata libreria 'org.apache.cxf:*' alla versione 3.6.5
    • aggiornata libreria 'org.ow2.asm:asm' alla versione 9.7.1

  • CVE-2024-38827: aggiornata libreria 'org.springframework.security:*' alla versione 5.8.16

  • CVE-2024-38829: aggiornata libreria 'org.springframework.ldap:*' alla versione 2.4.4

  • CVE-2024-47535: aggiornata libreria 'io.netty:*' alla versione 4.1.115

  • Corrette nuove segnalazioni di vulnerabilità emerse in seguito all'aggiornamento dei seguenti tools di analisi statica:

    • SpotBugs alla versione 4.8.6;
    • SonarQube alla versione '10.7'.

Sono stati risolti i seguenti bug:

  • risolta anomalia presente nella funzionalità 'FileTrace' per la registrazione delle transazioni, dove l'informazione 'requester', se registrata con l'opzione 'logBase64', veniva codificata in Base64 due volte;

  • quando la funzionalità di proxy pass reverse per gli header HTTP è attiva, se un header Location contiene un'URL con query parameter che non corrisponde a quella del connettore (e quindi non viene tradotta), l'header veniva inoltrato al client senza i query parameters.

Per la console di gestione sono stati risolti i seguenti bug:

  • utilizzando il database 'SQLServer', si verificava un errore inatteso accedendo alla sezione 'Handler' nelle opzioni avanzate di un'erogazione/fruizione e cliccando su una qualsiasi delle liste relative alla richiesta o alla risposta.

Per la console di monitoraggio sono stati risolti i seguenti bug:

  • il filtro utilizzato per la ricerca delle transazioni o per la generazione di report statistici non permetteva di selezionare una risorsa o un'azione semplicemente scegliendo l'API. Era necessario selezionare la voce Implementazione API. Ora, il filtro per risorse/azioni consente la selezione sia tramite l'API che tramite la sua implementazione, offrendo maggiore flessibilità.

  • corretta anomalia che causava la registrazione di comandi SQL nel file di log 'govway_monitor_core.log' invece che nel file 'govway_monitor_sql.log'.

Infine è stato aggiunto su tutti i tools un controllo dello stato della connessione al rilascio al datasource che consente di:

  • verificare la presenza di transazioni aperte (autoCommit disabilitato);
  • effettuare il log dello stack trace per identificare la classe responsabile;
  • richiamare setAutoCommit(true) per ripristinare lo stato corretto.

Grazie all'introduzione del controllo sulla connessione è stato individuata e corretta un'anomalia presente in alcuni casi limite, in cui i driver per l'accesso al database delle configurazioni restituivano al pool una connessione con l'opzione autoCommit disabilitata.

Assets 4
Loading