Skip to content

GovWay v3.3.10
Compare
Choose a tag to compare
@andreapoli andreapoli released this 24 Jan 07:56
· 422 commits to master since this release
3.3.10
b0b46da

Miglioramenti alle funzionalità di Sicurezza

È stato introdotto il supporto al protocollo Online Certificate Status Protocol (OCSP), descritto nel RFC 2560, che consente di verificare la validità di un certificato senza ricorrere alle liste di revoca dei certificati (CRL).

GovWay consente di definire differenti molteplici policy OCSP, ad ognuna delle quali è possibile attribuire una modalità di validazione del certificato differente rispetto a vari parametri: dove reperire la url del servizio OCSP a cui richiedere la validità del certificato e il certificato dell’Issuer che lo ha emesso, come comportarsi se un servizio non è disponibile, eventuale validazione CRL alternativa etc.

Una policy OCSP è utilizzabile nelle seguenti funzionalità per attuare una validazione OCSP dei certificati presenti:

  • Profilo di Interoperabilità ModI: certificato utilizzato all'interno dei token di sicurezza 'ID_AUTH' e 'INTEGRITY';

  • Connettore HTTPS: certificato server;

  • WSSecurity e JOSE: certificato utilizzato per firmare il messaggio;

  • Token OAuth: certificato utilizzato per firmare il token;

  • Autenticazione HTTPS: certificato client;

  • Frontend HTTPS: certificati X.509 inoltrati a GovWay su header http dai frontend dove viene attuata la terminazione tls (Apache httpd, IIS, etc).

Miglioramenti alla gestione dei Certificati X.509

È adesso possibile caricare un certificato, da associare ad un applicativo o ad un soggetto, anche nei seguenti formati:

  • pkcs7 (p7b);

  • certificate chain.

Per ogni certificato è adesso possibile accedere anche alle seguenti informazioni:

  • ottenere i 'subject alternative names' presenti nel certificato;

  • accedere all'oggetto 'extensions' generico che raccoglie tutte le estensioni presenti nel certificato.

Miglioramenti all'Installer

Nello script SQL generato per SQLServer è stata aggiunta una nota iniziale che indica il charset 'UTF-8' e la collection 'case sensitive' da utilizzare.

Bug Fix

La lista completa dei bug risolti è disponibile in https://govway.readthedocs.io/it/latest/releaseNotes/3.3.10/bug.html

Sono state risolte le seguenti vulnerabilità relative ai jar di terza parte:

  • CVE-2022-46364: aggiornate librerie 'org.apache.cxf:cxf-*' alla versione 3.5.5 (e dipendenza org.ow2.asm:asm alla versione 9.4);

  • CVE-2022-41915: aggiornate librerie 'io.netty:netty-*' alla versione 4.1.86.Final.

Sono stati risolti i seguenti bug:

  • le operazioni riguardanti richieste definite tramite WSDL con stile rpc, non venivano riconosciute dal processo di lettura delle informazioni SOAP in streaming;

  • aggiunta proprietà 'validation.rpc.rootElementUnqualified.accept', configurabile nell'erogazione o nella fruizione, che consente di indicare se devono essere accettate o meno richieste RPC il cui root-element non appartiene ad alcun namespace in modo da poter disattivare il comportamento di default del prodotto che consente di accettare le richieste al fine di essere compatibile con framework soap datati;

  • un utilizzo di configurazioni che prevedono keystore PKCS12 o CRL in formato PEM su GovWay dispiegato nell'application server JBoss EAP 7.3 (aggiornato all'ultimo patch level) provocava il seguente errore: "java.lang.NoClassDefFoundError: org/bouncycastle/util/encoders/Base64 at org.bouncycastle.jcajce.provider.asymmetric.x509.PEMUtil.readPEMObject()";

  • la risoluzione dinamica di una risorsa che riferiva un metodo con un parametro contenente un punto non funzionava;

  • risolto problema di caching delle richieste su API SOAP, in alcune condizioni limite di errore, dove avveniva una inviduazione errata dell'azione.

Per la console di gestione sono stati risolti i seguenti bug:

  • la selezione di un numero di Entries da visualizzare differente dal default (20) provocava uno stato di attesa infinito della console causato dall'errore: "Uncaught ReferenceError: selectedIndex is not defined";

  • la verifica CSRF falliva erroneamente dopo un controllo dei riferimenti di un oggetto in 2 scenari d'uso differenti:

    • entrando nel dettaglio un soggetto (o applicativo o ruolo o scope), controllando i riferimenti dell'oggetto e successivamneto provandolo a salvare;

    • nelle liste controllando i riferimenti di un oggetto e successivamente provandolo ad eliminare;

  • era erroneamente concesso modificare la token policy associata ad un applicativo anche se quest'ultimo risultava censito puntualmente nel controllo degli accessi di una erogazione o fruizione;

  • la modifica delle credenziali di un applicativo di dominio esterno, per il profilo di interoperabilità 'ModI', non funzionava nel caso di credenziali di tipo 'Authorization PDND' o 'Authorization OAuth' nei seguenti casi:

    • modifica dell valore dell'identificativo;

    • aggiunta o eliminazione di un certificato X.509 all'autorizzazione per gestire l'integrità.

Assets 4
Loading