Commit
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.
Showing
11 changed files
with
232 additions
and
0 deletions.
There are no files selected for viewing
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,79 @@ | ||
| Bug Fix | ||
| ------- | ||
|
|
||
| Sono state risolte le seguenti vulnerabilità relative ai jar di terza parte: | ||
|
|
||
| - CVE-2023-51074: aggiornata libreria 'com.jayway.jsonpath:json-path' alla versione 2.9.0; | ||
|
|
||
| - CVE-2023-45860: aggiornata libreria 'com.hazelcast:hazelcast' alla versione 5.3.5; | ||
|
|
||
| - CVE-2023-44483: aggiornata libreria 'org.apache.santuario:xmlsec' alla versione 2.3.4; | ||
|
|
||
| - CVE-2023-5072: aggiornata libreria 'org.json:json' alla versione 20231013; | ||
|
|
||
| - CVE-2023-4586: aggiornata libreria 'io.netty:\*' alla versione 4.1.100.Final, libreria 'org.redisson:redisson' alla versione 3.23.5 e libreria 'org.jboss.marshalling:\*' alla versione 2.1.3.SP1 | ||
|
|
||
| - CVE-2023-34042: aggiornata libreria 'org.springframework.security:\*' alla versione 5.8.7; | ||
|
|
||
| - CVE-2023-4759: aggiornata libreria 'org.eclipse.jgit:org.eclipse.jgit' alla versione 6.7.0.202309050840-r; | ||
|
|
||
| - CVE-2023-40167: aggiornata libreria 'org.eclipse.jetty:\*' alla versione 10.0.16. | ||
|
|
||
|
|
||
| Sono stati risolti i seguenti bug: | ||
|
|
||
| - le richieste contenenti metodi http 'PATCH', 'LINK' e 'UNLINK' venivano inoltrate al backend erroneamente come metodo POST se la connessione era https; | ||
|
|
||
| - non venivano utilizzati i tempi di connection e read timeout impostati a livello globale; l'anomalia è stata risolta e nell'occasione sono stati rivisti i tempi di default utilizzati a livello globale per una nuova installazione: | ||
|
|
||
| - connection timeout: modificato da 10 a 5 secondi | ||
| - read timeout sulle erogazioni: modificato da 120 a 60 secondi | ||
| - read timeout sulle fruizioni: modificato da 150 a 65 secondi | ||
|
|
||
|
|
||
| Sono stati risolti i seguenti bug relativi al profilo di interoperabilità "ModI": | ||
|
|
||
| - in una fruizione ModI di una API definita tramite i pattern 'ID_AUTH_REST via PDND' e 'AUDIT_REST_01', se la fruizione risultava configurata per utilizzare un keystore definito nell'applicativo e quest'ultimo non veniva identificato durante la gestione della richiesta, GovWay emetteva un diagnostico malformato: "Il profilo di sicurezza richiesto 'null' richiede l'identificazione di un applicativo"; | ||
|
|
||
| - in un contesto in cui risultava già attiva una erogazione definita senza pattern di sicurezza messaggio o con un pattern con generazione token 'Authorization ModI', se veniva modificata l'API per utilizzare un pattern con token 'Authorization PDND', la sezione controllo degli accessi dell'erogazione non consentiva di abilitare la token policy di validazione dei voucher PDND; | ||
|
|
||
| - la creazione di una erogazione di API con pattern di sicurezza canale 'ID_AUTH_CHANNEL_02' veniva effettuata definendo un controllo accessi non corretto poichè l'autenticazione canale veniva configurata come opzionale; | ||
|
|
||
| - in un API definita con un pattern di sicurezza messaggio con generazione token 'Authorization ModI' e con voce 'Header HTTP del Token' impostata a 'Custom-JWT-Signature', se veniva modificata la voce di generazione token in 'Authorization PDND' rimanevano inconsistenti le successive voci che consentono la configurazione dell'header custom; | ||
|
|
||
| - la verifica dei keystore/truststore di una fruizione o erogazione, da utilizzare per i token di risposta, viene adesso effettuata solamente se l'API prevede un token di sicurezza nella risposta; | ||
|
|
||
| - una fruizione ModI di una API definita con pattern 'ID_AUTH_REST' e 'Generazione Token via PDND' presentava le seguenti anomalie: | ||
|
|
||
| - la verifica dei certificati non veniva effettuata: la console indicava che tutti i certificati erano validi anche quando non lo erano; | ||
|
|
||
| - la configurazione fornita dalla funzionalità 'Visualizza dettagli della configurazione', presente nelle opzioni della fruizione, non visualizzava le informazioni corrette su eventuali keystore definite nella fruizione stessa; | ||
|
|
||
| - nel caso si configurava prima una API senza pattern di sicurezza messaggio e successivamente si modificava impostando il pattern 'ID_AUTH_REST_01' e 'Generazione Token' via PDND, entrando nella maschera di configurazione del connettore della fruizione si otteneva una informazione errata sulla token policy che sembrava assegnata anche se in realtà non lo era. | ||
|
|
||
| - Durante la registrazione di un applicativo con profilo di interoperabilità 'ModI', se nella sezione 'ModI - Sicurezza Messaggio - KeyStore' veniva effettuato con modalità 'Archivio' l'upload di un keystore pkcs12, creato importando un altro archivio pkcs12 al suo interno, si ottevena l'errore: "keystore password was incorrect". Si trattava dello stesso bug risolto nell'issue 'https://github.com/link-it/govway/issues/128' la cui risoluzione non era stata riportata nella maschera di gestione della sicurezza ModI di un applicativo. | ||
|
|
||
|
|
||
|
|
||
| Per la console di gestione sono stati risolti i seguenti bug: | ||
|
|
||
| - durante la visualizzazione di una pagina, il componente "loading" che inibisce l'utilizzo della pagina stessa terminava la sua funzione prima che il caricamento della pagina fosse completo; | ||
|
|
||
| - la creazione di una API tramite interfaccia OpenAPI contenente la definizione di un parametro di tipo 'header' falliva e dai log si poteva riscontrare il seguente errore: "Trovato parametro header 'Authorization' senza tipo"; | ||
|
|
||
| - se veniva effettuata una configurazione dei nodi in cluster suddivisi per gruppi, l'operazione "Svuota le Cache dei nodi '<nomeGruppo>'" veniva ripetuta erroneamente più volte per ogni nodo; | ||
|
|
||
| - su una erogazione configurata per gestire gruppi di risorse differenti in cui in ogni gruppo veniva ridefinito il connettore e attivata la consegna condizionale, se venivano visualizzati i connettori di un gruppo e successivamente si passava a visualizzare i connettori dell'altro gruppo i dati riportati sui connettori erano errati. | ||
|
|
||
|
|
||
|
|
||
| Per la console di monitoraggio sono stati risolti i seguenti bug: | ||
|
|
||
| - la visualizzazione dei contenuti delle richieste e delle risposte su database SQLServer falliva se la dimensione dei messaggi era superiore a '250Kb'. | ||
|
|
||
|
|
||
| Per le API di monitoraggio sono stati risolti i seguenti bug: | ||
|
|
||
| - la distribuzione temporale non consentiva di ottenere report contenenti informazioni sull'occupazione della banda e sul tempo medio di risposta dei servizi; | ||
|
|
||
| - tra le informazioni restituite per un evento non era presente la sua descrizione. |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,11 @@ | ||
| Miglioramenti alla Console di Gestione | ||
| --------------------------------------- | ||
|
|
||
| Su ogni oggetto del registro è adesso possibile indicare una descrizione contenente fino a 4000 caratteri. | ||
|
|
||
| Inoltre sono adesso consultabili le informazioni su chi e quando ha creato o modificato un oggetto tramite la nuova voce 'Proprietà' utilizzabile tramite il menù "tre puntini" presente sia nell'elenco che nel dettaglio di un oggetto. | ||
|
|
||
| Infine sono state riviste le schede di visualizzazione dei dettagli di una API, di una erogazione o fruizione e di un gruppo di configurazioni per i seguenti aspetti: | ||
|
|
||
| - la descrizione viene visualizzata solo se definita ed è possibile aggiungerla tramite un'azione dedicata presente tra le informazioni sul nome dell'oggetto; | ||
| - vengono visualizzate le informazioni riguardanta la data di creazione, la data di ultima modifica e gli utenti che hanno effettuato tali operazioni. |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,16 @@ | ||
| Miglioramenti alla funzionalità di Correlazione Applicativa | ||
| ------------------------------------------------------------- | ||
|
|
||
| Sono state modificate le seguenti logiche di gestione. | ||
|
|
||
| - Una richiesta non applicabile a nessuna regola di correlazione applicativa, fino alla versione 3.3.13.p1, terminava con l’errore: | ||
|
|
||
| "Identificativo di correlazione applicativa non identificato; nessun elemento tra quelli di correlazione definiti, sono presenti nel body". | ||
|
|
||
| È stato modificato il default in modo da accettare la richiesta. Il precedente comportamento è ripristinabile agendo sulle proprietà della singola fruizione o erogazione di API. | ||
|
|
||
| - Una correlazione applicativa configurata con una modalità d'identificazione basata su header HTTP e un comportamento di identificazione fallita uguale al valore 'accetta', provocava la terminazione con errore della transazione se la richiesta non presentava l'header HTTP configurato nonostante fosse stato indicato di proseguire con successo in caso di identificazione fallita. L'errore riportato era il seguente: | ||
|
|
||
| "Identificativo di correlazione applicativa non identificato; nessun elemento tra quelli di correlazione definiti, sono presenti nel body". | ||
|
|
||
| L'anomalia si presentava anche su altre modalità di identificazione nel caso in cui l'identificativo estratto risultasse null o una stringa vuota. È stato modificato il comportamento di default del gateway in modo da considerare entrambi i casi come una estrazione di correlazione applicativa fallita per la specifica modalità, per la quale si può poi decidere se proseguire comunque o terminare con errore. Il precedente comportamento di accettare identificativi null o stringhe vuote è ripristinabile agendo sulle proprietà della singola fruizione o erogazione di API. |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,22 @@ | ||
| .. _3.3.14: | ||
|
|
||
| Versione 3.3.14 | ||
| =============== | ||
|
|
||
| In questa sezione sono descritte le principali nuove funzionalità e i | ||
| problemi risolti nella versione 3.3.14 di GovWay. Per un maggior dettaglio | ||
| si può invece far riferimento al file ChangeLog di questa versione. | ||
|
|
||
| .. toctree:: | ||
| :maxdepth: 2 | ||
|
|
||
| modipa | ||
| tracciamento | ||
| correlazione | ||
| token | ||
| sicurezzaMessaggio | ||
| console | ||
| monitoraggio | ||
| installer | ||
| bug | ||
|
|
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,13 @@ | ||
| Miglioramenti all'Installer | ||
| --------------------------- | ||
|
|
||
| Sono stati apportati i seguenti miglioramenti all'installer binario: | ||
|
|
||
| - aggiunti script di svecchiamento delle tracce per tipo di database sqlserver; | ||
|
|
||
| - eliminata la generazione dell'archivio 'govwaySec' prodotto per default sugli archivi generati per l'application server WildFly; l'archivio è nuovamente generabile abilitando l'opzione specifica utilizzando l'installer in modalità avanzata; | ||
|
|
||
| - gli artefatti prodotti dall'installer in caso di scelta del profilo di interoperabiltà 'eDelivery' presentavano i seguenti errori: | ||
|
|
||
| - nell'archivio govway.ear mancava il jar 'openspcoop2_as4-protocol_ecodexBackendStub_cxf.jar'; | ||
| - il datasource per wildfly 'domibus-ds.xml' non conteneva il nome jndi 'org.govway.datasource.domibus' atteso. |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,42 @@ | ||
| Miglioramenti al Profilo di Interoperabilità 'ModI' | ||
| ------------------------------------------------------ | ||
|
|
||
| Sono stati apportati i seguenti miglioramenti alla gestione dei pattern 'AUDIT_REST_01' e 'AUDIT_REST_02': | ||
|
|
||
| - aggiunta la possibilità di definire dei criteri di validazioni sui claim attesi all'interno del token di audit; i criteri associabili ad ogni specifico claim sono: | ||
|
|
||
| - una lista di valori ammessi; | ||
| - una validazione tramite espressione regolare; | ||
| - indicazione della lunghezza minima e/o massima di caratteri; | ||
|
|
||
| - nella definizione delle informazioni personalizzate da includere nel token di AUDIT è adesso possibile indicare per ogni singolo claim se l'informazione veicolata sia riutilizzabile o meno su differenti chiamate; l'intero token di audit verrà salvato in cache e riutilizzato su differenti chiamate solo se tutti i claim inseriti all'interno del token risultano configurati come riutilizzabili; | ||
|
|
||
| - attivando una configurazione opzionale per il token di audit, l'impostazione veniva ignorata e il token veniva obbligatoriamente richiesto; l'anomalia è stata risolta. | ||
|
|
||
|
|
||
| Sono stati apportati i seguenti miglioramenti alla funzionalità di integrazione con la PDND: | ||
|
|
||
| - è stato rivisto il concetto di richiedente di una richiesta di servizio al fine di considerare anche il nome dell'organizzazione recuperata tramite le API PDND, in modo da visualizzarla al posto del clientId durante la consultazione dello storico delle transazioni; | ||
|
|
||
| - sono stati introdotti i seguenti miglioramenti alla console e alle API di monitoraggio per utilizzare i dati individuati tramite le API PDND: | ||
|
|
||
| - nello storico delle transazioni è adesso possibile effettuare una ricerca per nome dell'organizzazione individuata; | ||
| - i dati dei report statistici possono essere filtrati per nome dell'organizzazione; | ||
| - è possibile adesso ottenere una distribuzione per clientId contenente anche le informazioni recuperate tramite le API PDND (nome organizzazione, external-id, categoria); | ||
|
|
||
| - tramite la console di gestione è adesso possibile verificare o eliminare i dati presenti nella cache locale contenente le chiavi pubbliche (JWK) e le informazioni sui client raccolte tramite le API PDND; | ||
|
|
||
| - nella configurazione che consente l'invocazione delle API PDND è adesso possibile: | ||
|
|
||
| - produrre header o parametri della url personalizzati da inoltrare verso la fruizione delle API; | ||
| - disattivare l'invio di credenziali basic; | ||
| - personalizzare le chiamate per tenant in una installazione multi-tenant. | ||
|
|
||
|
|
||
| Sono infine stati apportati i seguenti miglioramenti: | ||
|
|
||
| - aggiunto supporto per uno scenario di fruizione ModI in cui è possibile utilizzare il materiale crittografico definito nella token policy per firmare i token di AUDIT e di INTEGRITY; | ||
|
|
||
| - la validazione dei token 'ModI' non supportava token contenenti claim 'aud' definiti come stringhe di array; è stato aggiunto il supporto in modo da rispettare entrambe le modalità (array of case-sensitive strings or single case-sensitive string) indicate nel RFC 'https://datatracker.ietf.org/doc/html/rfc7519.html#section-4.1.3'; | ||
|
|
||
| - la produzione e la validazione dell'header di integrità 'Custom-JWT-Signature' è adesso attivabile anche per metodi senza payload. |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,5 @@ | ||
| Miglioramenti alla Console e alle API di Monitoraggio | ||
| ------------------------------------------------------- | ||
|
|
||
| Nella funzionalità "Configurazione API" delle statistiche è adesso possibile esportare il report oltre che nel formato 'csv' anche nel formato 'xls'. | ||
|
|
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,7 @@ | ||
| Miglioramenti alla funzionalità di Sicurezza Messaggio | ||
| --------------------------------------------------------- | ||
|
|
||
| Viene adesso consentito l'utilizzo di valori dinamici anche sul flusso di risposta per quanto concerne la funzionalità di sicurezza messaggio. | ||
|
|
||
| Inoltre per la funzionalità 'WS-Security Username Token' è adesso possibile definire una mappa di credenziali attese. | ||
|
|
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,8 @@ | ||
| Miglioramenti alla funzionalità di Gestione dei Token | ||
| ----------------------------------------------------- | ||
|
|
||
| In una token policy di validazione, per un token JWS è adesso possibile aggiungere criteri di validazione dei 'typ', 'cty' e 'alg' presenti nell'header. | ||
|
|
||
| È inoltre stata differenziata la cache che conserva i dati recuperati dalle Attribute Authority rispetto alla cache che conserva i token. | ||
|
|
||
|
|
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,28 @@ | ||
| Miglioramenti alla funzionalità di Tracciamento | ||
| ------------------------------------------------ | ||
|
|
||
| Sono stati apportati i seguenti miglioramenti: | ||
|
|
||
| - anche per le richieste contenenti credenziali non valide, token scaduti o non autorizzati vengono adesso registrate: | ||
|
|
||
| - le informazioni sui claim principali presenti nel token (clientId, subject/issuer, username, eMail); | ||
| - le informazioni recuperate tramite le API PDND (es. nome e categoria dell'organizzazione); | ||
| - l'identificativo autenticato a livello trasporto (principal); | ||
|
|
||
| - sono stati aggiunti nuovi esiti per le transazioni: | ||
|
|
||
| - 'Read Timeout': risposta non ricevuta entro il timeout specificato; | ||
| - 'Request Read Timeout': richiesta non ricevuta entro il timeout specificato; | ||
| - 'Connection Timeout': connessione non stabilita entro il timeout specificato; | ||
| - 'Negoziazione Token Fallita': indica degli errori emersi durante la negoziazione del token; | ||
|
|
||
| - le classi di appartenenza degli esiti sono state riviste al fine di includere il nuovo esito 'Request Read Timeout' e l'esito 'Connessione Client Interrotta' in una nuova classe 'Errore Client Indisponibile'; | ||
|
|
||
| - i nuovi esiti relativi a timeout concorrono alla generazione di eventi che consentono all'operatore di indivuare l'occorrenza di errori di timeout senza dove effettuare ricerche puntuali nello storico delle transazioni; | ||
|
|
||
| - le informazioni raccolte tramite le API PDND sono state aggiunte alla base dati di tracciamento in modo da consentirne l'estrazione tramite viste personalizzate; | ||
|
|
||
| - nella funzionalità 'fileTrace' è adesso possibile accedere alle seguenti informazioni ModI: | ||
|
|
||
| - informazioni del token ModI di audit 'Agid-JWT-TrackingEvidence'; | ||
| - informazioni recuperate tramite le API PDND. |
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters