Merge pull request #7 from RegioneER/versamento-fascicolo-v3-1.6.0_410327

Release 1.6.0

Author: ScardigliA

CHANGELOG.md

@@ -1,4 +1,9 @@
 
+## 1.6.0 (18-11-2025)
+
+### Novità: 1
+- [#39124](https://parermine.regione.emilia-romagna.it/issues/39124) Patch di sicurezza per interventi legati a CVE
+
 ## 1.5.1 (18-09-2025)
 
 ### Bugfix: 1

CONTAINER-SCAN-REPORT.md

@@ -1,12 +1,9 @@
 ## Container scan evidence CVE
 <strong>Image name:</strong> registry.ente.regione.emr.it/parer/okd/versamento-fascicolo-v3:sast
-<br/><strong>Run date:</strong> Thu Sep 18 11:28:26 CEST 2025
-<br/><strong>Produced by:</strong> <a href="https://gitlab.ente.regione.emr.it/parer/okd/versamento-fascicolo-v3/-/jobs/753236">Job</a>
-<br/><strong>CVE founded:</strong> 5
+<br/><strong>Run date:</strong> Tue Nov 18 16:56:33 CET 2025
+<br/><strong>Produced by:</strong> <a href="https://gitlab.ente.regione.emr.it/parer/okd/versamento-fascicolo-v3/-/jobs/815726">Job</a>
+<br/><strong>CVE founded:</strong> 2
 | CVE | Description | Severity | Solution | 
 |:---:|:---|:---:|:---|
-| [CVE-2025-58060](https://access.redhat.com/errata/RHSA-2025:15702)|OpenPrinting CUPS is an open source printing system for Linux and other Unix-like operating systems. In versions 2.4.12 and earlier, when the `AuthType` is set to anything but `Basic`, if the request contains an `Authorization: Basic ...` header, the password is not checked. This results in authentication bypass. Any configuration that allows an `AuthType` that is not `Basic` is affected. Version 2.4.13 fixes the issue.|High|Upgrade cups-libs to 1:2.2.6-63.el8_10|
-| [CVE-2025-59375](https://access.redhat.com/security/cve/CVE-2025-59375)|libexpat in Expat before 2.7.2 allows attackers to trigger large dynamic memory allocations via a small document that is submitted for parsing.|High|No solution provided|
-| [CVE-2025-5914](https://access.redhat.com/errata/RHSA-2025:14130)|A vulnerability has been identified in the libarchive library, specifically within the archive_read_format_rar_seek_data() function. This flaw involves an integer overflow that can ultimately lead to a double-free condition. Exploiting a double-free vulnerability can result in memory corruption, enabling an attacker to execute arbitrary code or cause a denial-of-service condition.|High|Upgrade libarchive to 3.3.3-6.el8_10|
-| [CVE-2025-7425](https://access.redhat.com/errata/RHSA-2025:12447)|A flaw was found in libxslt where the attribute type, atype, flags are modified in a way that corrupts internal memory management. When XSLT functions, such as the key() process, result in tree fragments, this corruption prevents the proper cleanup of ID attributes. As a result, the system may access freed memory, causing crashes or enabling attackers to trigger heap corruption.|High|Upgrade libxml2 to 2.9.7-21.el8_10.2|
-| [CVE-2025-6965](https://access.redhat.com/errata/RHSA-2025:11992)|There exists a vulnerability in SQLite versions before 3.50.2 where the number of aggregate terms could exceed the number of columns available. This could lead to a memory corruption issue. We recommend upgrading to version 3.50.2 or above.|High|Upgrade sqlite-libs to 3.26.0-20.el8_10|
+| [CVE-2025-59375](http://www.openwall.com/lists/oss-security/2025/09/16/2)|libexpat in Expat before 2.7.2 allows attackers to trigger large dynamic memory allocations via a small document that is submitted for parsing.|High|No solution provided|
+| [CVE-2025-12863](https://access.redhat.com/security/cve/CVE-2025-12863)|A flaw was found in the xmlSetTreeDoc() function of the libxml2 XML parsing library. This function is responsible for updating document pointers when XML nodes are moved between documents. Due to improper handling of namespace references, a namespace pointer may remain linked to a freed memory region when the original document is destroyed. As a result, subsequent operations that access the namespace can lead to a use-after-free condition, causing an application crash.|High|No solution provided|

RELEASE-NOTES.md

@@ -1,4 +1,4 @@
-## 1.5.1 (18-09-2025)
+## 1.6.0 (18-11-2025)
 
-### Bugfix: 1
-- [#35929](https://parermine.regione.emilia-romagna.it/issues/35929) Correzione errore imprevisto che si verifica nella gestione degli attributi dei dati specifici fascicoli
+### Novità: 1
+- [#39124](https://parermine.regione.emilia-romagna.it/issues/39124) Patch di sicurezza per interventi legati a CVE

pom.xml

@@ -1,19 +1,22 @@
 <?xml version="1.0" encoding="UTF-8"?>
 <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
 	<modelVersion>4.0.0</modelVersion>
+	<artifactId>versamento-fascicolo-v3</artifactId>
+	<version>1.6.1-SNAPSHOT</version>
+	<name>Versamento Fascicolo 3.0</name>
+	<description>Progetto versamento-fascicolo-v3</description>
+
 	<parent>
 		<groupId>it.eng.parer</groupId>
 		<artifactId>parer-pom</artifactId>
-        <version>7.1.2</version>
+        <version>7.1.3</version>
 	</parent>
-	<artifactId>versamento-fascicolo-v3</artifactId>
-	<version>1.5.2-SNAPSHOT</version>
-	<name>Versamento Fascicolo 3.0</name>
-	<description>Progetto versamento-fascicolo-v3</description>
+
 <scm>
 		<developerConnection>scm:git:https://github.com/RegioneER/parer-versamento-fascicolo-v3.git</developerConnection>
 		<tag>versamento-fascicolo-v3-1.5.0</tag>
 	</scm>
+
 <distributionManagement>
 		<repository>
 			<id>github</id>
@@ -27,25 +30,20 @@
 			<url>https://maven.pkg.github.com/RegioneER/parer-framework-parerpom</url>
 		</repository>
 	</repositories>
+	
 	<properties>
 		<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
 		<project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
 		<maven.compiler.release>21</maven.compiler.release>
 		<quarkus.platform.artifact-id>quarkus-bom</quarkus.platform.artifact-id>
 		<quarkus.platform.group-id>io.quarkus.platform</quarkus.platform.group-id>
-		<quarkus.platform.version>3.21.0</quarkus.platform.version>
+		<quarkus.platform.version>3.28.4</quarkus.platform.version>
 		<xmlsec.version>4.0.2</xmlsec.version>
-		<surefire-plugin.version>3.5.2</surefire-plugin.version>
+		<surefire-plugin.version>3.5.4</surefire-plugin.version>
 		<osgi.version>2.0.0</osgi.version>
         <dom4j.version>2.1.3</dom4j.version>
         <!-- commons -->
-        <commons-text.version>1.13.0</commons-text.version>
-        <commons-codec.version>1.18.0</commons-codec.version>
-        <commons-lang3.version>3.17.0</commons-lang3.version>
-        <commons-compress.version>1.27.1</commons-compress.version>
-        <commons-io.version>2.18.0</commons-io.version>
-        <commons-collections4.version>4.5.0-M3</commons-collections4.version>
-        <commons-net.version>3.11.1</commons-net.version>
+        <commons-collections4.version>4.5.0</commons-collections4.version>
 		<quarkus.custom.log.version>1.3.0</quarkus.custom.log.version>
 		<jandex-maven-plugin.version>1.2.3</jandex-maven-plugin.version>
 		<jaxb2-maven-plugin.version>3.2.0</jaxb2-maven-plugin.version>
@@ -147,10 +145,6 @@
 			<groupId>io.quarkus</groupId>
 			<artifactId>quarkus-hibernate-validator</artifactId>
 		</dependency>
-		<dependency>
-			<groupId>io.quarkus</groupId>
-			<artifactId>quarkus-security-jpa</artifactId>
-		</dependency>
 		<dependency>
 			<groupId>io.quarkus</groupId>
 			<artifactId>quarkus-arc</artifactId>
@@ -231,10 +225,6 @@
 			<groupId>io.quarkus</groupId>
 			<artifactId>quarkus-smallrye-health</artifactId>
 		</dependency>
-		<dependency>
-			<groupId>io.quarkus</groupId>
-			<artifactId>quarkus-logging-json</artifactId>
-		</dependency>
 		<!-- security with token -->
 		<dependency>
 			<groupId>io.quarkus</groupId>

src/main/docker/Dockerfile.jvm

@@ -77,7 +77,7 @@
 #   accessed directly. (example: "foo.example.com,bar.example.com")
 #
 ###
-FROM registry.access.redhat.com/ubi8/openjdk-21:1.21
+FROM registry.access.redhat.com/ubi9/openjdk-21:1.23
 
 # This is a custom layer 
 # Add layer with extra certification authorities certificates

src/main/java/it/eng/parer/fascicolo/beans/AppServerInstance.java

@@ -51,132 +51,132 @@ public class AppServerInstance {
 
     @PostConstruct
     protected void initSingleton() {
-	try {
-	    log.atInfo().log("Inizializzazione singleton AppServerInstance...");
-	    InetAddress address = this.getMyHostAddress();
+        try {
+            log.atInfo().log("Inizializzazione singleton AppServerInstance...");
+            InetAddress address = this.getMyHostAddress();
 
-	    log.atInfo().log("Indirizzo IP del server: {}", address.getHostAddress());
-	    log.atInfo().log("        Nome del server: {}", address.getCanonicalHostName());
+            log.atInfo().log("Indirizzo IP del server: {}", address.getHostAddress());
+            log.atInfo().log("        Nome del server: {}", address.getCanonicalHostName());
 
-	    log.atInfo().log("Instance UUID: {}", instanceUUID);
+            log.atInfo().log("Instance UUID: {}", instanceUUID);
 
-	    servername = address.getCanonicalHostName() + "/" + instanceUUID;
-	    log.atInfo().log("Il nome completo dell'istanza in esecuzione è {}", servername);
+            servername = address.getCanonicalHostName() + "/" + instanceUUID;
+            log.atInfo().log("Il nome completo dell'istanza in esecuzione è {}", servername);
 
-	} catch (UnknownHostException ex) {
-	    throw new AppGenericRuntimeException(ex, ErrorCategory.INTERNAL_ERROR);
-	}
+        } catch (UnknownHostException ex) {
+            throw new AppGenericRuntimeException(ex, ErrorCategory.INTERNAL_ERROR);
+        }
     }
 
     @Lock(value = Type.READ)
     public String getName() {
-	return servername;
+        return servername;
     }
 
     enum AddressTypes {
-	// l'ordine di scelta dovrebbe essere quello che segue:
-	// priorità ai nomi host, poi gli ipv4, poi gli ipv6.
-	// nell'elenco sono presenti anche i due tipi di indirizzi di loopback
-	// così che nel caso pessimo sia reso preferibilmente
-	// l'indirizzo IPV4. (nel caso di questi due ultimi tipi di
-	// indirizzo il nome host non è critico)
-	// tendenzialmente è meglio un site local di un ip pubblico.
-	// per capire se un ip ha un nome, verifico se questo è diverso dalla
-	// rappresentazione in stringa delll'ip. (non molto bello, in effetti)
-	SITE_LOCAL_WITH_NAME, NON_SITE_LOCAL_WITH_NAME, SITE_LOCAL_WITHOUT_NAME_IPV4,
-	NON_SITE_LOCAL_WITHOUT_NAME_IPV4, SITE_LOCAL_WITHOUT_NAME_IPV6,
-	NON_SITE_LOCAL_WITHOUT_NAME_IPV6, LOOPBACK_IPV4, LOOPBACK_IPV6
+        // l'ordine di scelta dovrebbe essere quello che segue:
+        // priorità ai nomi host, poi gli ipv4, poi gli ipv6.
+        // nell'elenco sono presenti anche i due tipi di indirizzi di loopback
+        // così che nel caso pessimo sia reso preferibilmente
+        // l'indirizzo IPV4. (nel caso di questi due ultimi tipi di
+        // indirizzo il nome host non è critico)
+        // tendenzialmente è meglio un site local di un ip pubblico.
+        // per capire se un ip ha un nome, verifico se questo è diverso dalla
+        // rappresentazione in stringa delll'ip. (non molto bello, in effetti)
+        SITE_LOCAL_WITH_NAME, NON_SITE_LOCAL_WITH_NAME, SITE_LOCAL_WITHOUT_NAME_IPV4,
+        NON_SITE_LOCAL_WITHOUT_NAME_IPV4, SITE_LOCAL_WITHOUT_NAME_IPV6,
+        NON_SITE_LOCAL_WITHOUT_NAME_IPV6, LOOPBACK_IPV4, LOOPBACK_IPV6
     }
 
     private InetAddress getMyHostAddress() throws UnknownHostException {
-	try {
-	    Map<AddressTypes, InetAddress> map = new EnumMap<>(AddressTypes.class);
-
-	    // Nota se falliscono tutti questi tentativi la macchina è
-	    // probabilmente disconnessa dalla rete
-	    //
-	    // Scorri su tutte le interfacce di rete
-	    for (Enumeration<?> ifaces = NetworkInterface.getNetworkInterfaces(); ifaces
-		    .hasMoreElements();) {
-		NetworkInterface iface = (NetworkInterface) ifaces.nextElement();
-		// Scorri su tutti gli indirizzi IP associati ad una scheda di rete
-		for (Enumeration<InetAddress> inetAddrs = iface.getInetAddresses(); inetAddrs
-			.hasMoreElements();) {
-		    InetAddress inetAddr = inetAddrs.nextElement();
-		    log.atDebug().log("Verifico l'indirizzo {}", inetAddr.getHostAddress());
-		    AddressTypes tipo = decodeAddrType(inetAddr);
-		    // se è già presente un indirizzo di questo tipo (per esempio se
-		    // ci sono più schede di rete fisiche) lo sovrascrivo. Di fatto prendo
-		    // l'ultimo che leggo.
-		    map.put(tipo, inetAddr);
-		}
-	    }
-
-	    // l'enum viene letto nell'ordine in cui è stato dichiarato,
-	    // garantendo la preferenza nella scelta del tipo di indirizzo reso
-	    for (AddressTypes at : AddressTypes.values()) {
-		if (map.get(at) != null) {
-		    log.atInfo().log("Ho selezionato l'indirizzo di tipo {}", at);
-		    return map.get(at);
-		}
-	    }
-
-	    // A questo punto, non siamo riusciti a determinare un indirizzo plausibile
-	    // Ripieghiamo usando l'API del JDK sperando che il risultato non sia
-	    // del tutto inutile (sotto Linux la cosa è frequente)
-	    InetAddress jdkSuppliedAddress = InetAddress.getLocalHost();
-	    if (jdkSuppliedAddress == null) {
-		throw new UnknownHostException(
-			"Il metodo JDK InetAddress.getLocalHost() ha reso null.");
-	    }
-	    return jdkSuppliedAddress;
-	} catch (Exception e) {
-	    UnknownHostException unknownHostException = new UnknownHostException(
-		    "Impossibile determinare un indirizzo per la macchina: " + e);
-	    unknownHostException.initCause(e);
-	    throw unknownHostException;
-	}
+        try {
+            Map<AddressTypes, InetAddress> map = new EnumMap<>(AddressTypes.class);
+
+            // Nota se falliscono tutti questi tentativi la macchina è
+            // probabilmente disconnessa dalla rete
+            //
+            // Scorri su tutte le interfacce di rete
+            for (Enumeration<?> ifaces = NetworkInterface.getNetworkInterfaces(); ifaces
+                    .hasMoreElements();) {
+                NetworkInterface iface = (NetworkInterface) ifaces.nextElement();
+                // Scorri su tutti gli indirizzi IP associati ad una scheda di rete
+                for (Enumeration<InetAddress> inetAddrs = iface.getInetAddresses(); inetAddrs
+                        .hasMoreElements();) {
+                    InetAddress inetAddr = inetAddrs.nextElement();
+                    log.atDebug().log("Verifico l'indirizzo {}", inetAddr.getHostAddress());
+                    AddressTypes tipo = decodeAddrType(inetAddr);
+                    // se è già presente un indirizzo di questo tipo (per esempio se
+                    // ci sono più schede di rete fisiche) lo sovrascrivo. Di fatto prendo
+                    // l'ultimo che leggo.
+                    map.put(tipo, inetAddr);
+                }
+            }
+
+            // l'enum viene letto nell'ordine in cui è stato dichiarato,
+            // garantendo la preferenza nella scelta del tipo di indirizzo reso
+            for (AddressTypes at : AddressTypes.values()) {
+                if (map.get(at) != null) {
+                    log.atInfo().log("Ho selezionato l'indirizzo di tipo {}", at);
+                    return map.get(at);
+                }
+            }
+
+            // A questo punto, non siamo riusciti a determinare un indirizzo plausibile
+            // Ripieghiamo usando l'API del JDK sperando che il risultato non sia
+            // del tutto inutile (sotto Linux la cosa è frequente)
+            InetAddress jdkSuppliedAddress = InetAddress.getLocalHost();
+            if (jdkSuppliedAddress == null) {
+                throw new UnknownHostException(
+                        "Il metodo JDK InetAddress.getLocalHost() ha reso null.");
+            }
+            return jdkSuppliedAddress;
+        } catch (Exception e) {
+            UnknownHostException unknownHostException = new UnknownHostException(
+                    "Impossibile determinare un indirizzo per la macchina: " + e);
+            unknownHostException.initCause(e);
+            throw unknownHostException;
+        }
     }
 
     private AddressTypes decodeAddrType(InetAddress inetAddress) {
-	AddressTypes tipo;
-	if (!inetAddress.isLoopbackAddress()) {
-	    if (inetAddress.isSiteLocalAddress()) {
-		if (isAddressWithHostName(inetAddress)) {
-		    tipo = AddressTypes.SITE_LOCAL_WITH_NAME;
-		} else if (inetAddress instanceof Inet4Address) {
-		    tipo = AddressTypes.SITE_LOCAL_WITHOUT_NAME_IPV4;
-		} else {
-		    tipo = AddressTypes.SITE_LOCAL_WITHOUT_NAME_IPV6;
-		}
-	    } else {
-		if (isAddressWithHostName(inetAddress)) {
-		    tipo = AddressTypes.NON_SITE_LOCAL_WITH_NAME;
-		} else if (inetAddress instanceof Inet4Address) {
-		    tipo = AddressTypes.NON_SITE_LOCAL_WITHOUT_NAME_IPV4;
-		} else {
-		    tipo = AddressTypes.NON_SITE_LOCAL_WITHOUT_NAME_IPV6;
-		}
-	    }
-	    log.atDebug().log("è un indirizzo {}", tipo);
-	} else {
-	    // non mi interessa se questo indirizzo di loopback ha un nome:
-	    // nella maggior parte dei casi si chiama "localhost".
-	    // questa discriminazione viene fatta solo per dare
-	    // priorità nella selezione all'indirizzio ipv4
-	    // rispetto a quello ipv6
-	    if (inetAddress instanceof Inet4Address) {
-		tipo = AddressTypes.LOOPBACK_IPV4;
-	    } else {
-		tipo = AddressTypes.LOOPBACK_IPV6;
-	    }
-	    log.atDebug().log("è un indirizzo di loopback di tipo {}", tipo);
-	}
-	return tipo;
+        AddressTypes tipo;
+        if (!inetAddress.isLoopbackAddress()) {
+            if (inetAddress.isSiteLocalAddress()) {
+                if (isAddressWithHostName(inetAddress)) {
+                    tipo = AddressTypes.SITE_LOCAL_WITH_NAME;
+                } else if (inetAddress instanceof Inet4Address) {
+                    tipo = AddressTypes.SITE_LOCAL_WITHOUT_NAME_IPV4;
+                } else {
+                    tipo = AddressTypes.SITE_LOCAL_WITHOUT_NAME_IPV6;
+                }
+            } else {
+                if (isAddressWithHostName(inetAddress)) {
+                    tipo = AddressTypes.NON_SITE_LOCAL_WITH_NAME;
+                } else if (inetAddress instanceof Inet4Address) {
+                    tipo = AddressTypes.NON_SITE_LOCAL_WITHOUT_NAME_IPV4;
+                } else {
+                    tipo = AddressTypes.NON_SITE_LOCAL_WITHOUT_NAME_IPV6;
+                }
+            }
+            log.atDebug().log("è un indirizzo {}", tipo);
+        } else {
+            // non mi interessa se questo indirizzo di loopback ha un nome:
+            // nella maggior parte dei casi si chiama "localhost".
+            // questa discriminazione viene fatta solo per dare
+            // priorità nella selezione all'indirizzio ipv4
+            // rispetto a quello ipv6
+            if (inetAddress instanceof Inet4Address) {
+                tipo = AddressTypes.LOOPBACK_IPV4;
+            } else {
+                tipo = AddressTypes.LOOPBACK_IPV6;
+            }
+            log.atDebug().log("è un indirizzo di loopback di tipo {}", tipo);
+        }
+        return tipo;
     }
 
     private boolean isAddressWithHostName(InetAddress inetAddress) {
-	return !inetAddress.getHostName().equals(inetAddress.getHostAddress());
+        return !inetAddress.getHostName().equals(inetAddress.getHostAddress());
     }
 
 }