Proxy: Bruker versjonar av bouncycastle- og Angus-biblioteka som ikkj…

…e er sårbare (#231) * Bruker versjonar av bouncycastle- og xmlsec-biblioteka som ikkje er sårbare. Dette er minor upgrades frå 1.72 til 1.74 og 3.0.2 til 3.0.3. Xmlsec-oppgraderinga er kun å rette sårbarheit, bouncycastle har samla opp litt meir, men det verkar også greitt * Angus-mail og angus-core rapporterer også om CVEs, så tar med dei også * Tar bort unødig overstyring, fint å halde det til det minimale
navikt · Mar 18, 2024 · ff845b6 · ff845b6
1 parent 9f58172
commit ff845b6
Show file tree

Hide file tree

Showing 2 changed files with 16 additions and 1 deletion.
diff --git a/apps/etterlatte-proxy/build.gradle.kts b/apps/etterlatte-proxy/build.gradle.kts
@@ -29,12 +29,20 @@ dependencies {
     implementation(libs.cxf.transports.http)
     implementation(libs.cxf.ws.security) {
         exclude("com.google.guava:guava")
+        exclude("org.bouncycastle:bcpkix-jdk18on")
+        exclude("org.eclipse.angus:angus-core")
+        exclude("org.eclipse.angus:angus-mail")
     }
     implementation(libs.micrometer.prometheus)
     implementation(libs.jacksonDatatypejsr310)
 
     testImplementation(libs.mockOauth2Server)
     testImplementation(libs.ktor.serverTests)
 
+    // Avhengigheter fra patching av sårbarheter i Apache CXF.
+    // Vi bør kunne ta bort alle disse og exclude-lista for neste CXF-versjon
     implementation(libs.guava)
+    implementation(libs.bcpkix)
+    implementation(libs.angus.core)
+    implementation(libs.angus.mail)
 }
diff --git a/gradle/libs.versions.toml b/gradle/libs.versions.toml
@@ -7,6 +7,8 @@ navfelles-token-version = "4.1.3"
 ktor-version = "2.3.9"
 jupiter-version = "5.10.2"
 cxf-version = "4.0.4" # Obs: Når vi oppgraderer denne, bør vi også kunne rydde bort guava og guava-workarounden
+bcpkix-version = "1.74"
+angus-version = "1.1.0"
 
 [libraries]
 
@@ -62,4 +64,9 @@ cxf-logging = { module = "org.apache.cxf:cxf-rt-features-logging", version.ref =
 cxf-jax-ws = { module = "org.apache.cxf:cxf-rt-frontend-jaxws", version.ref = "cxf-version" }
 cxf-transports-http = { module = "org.apache.cxf:cxf-rt-transports-http", version.ref = "cxf-version" }
 cxf-ws-security = { module = "org.apache.cxf:cxf-rt-ws-security", version.ref = "cxf-version" }
-guava = { module = "com.google.guava:guava", version = "32.1.2-jre"} # workaround for å omgå https://github.com/google/guava/issues/6657
+
+#Cxf-workarounds
+guava = { module = "com.google.guava:guava", version = "32.1.2-jre"} # workaround for å omgå https://github.com/google/guava/issues/6657
+bcpkix = { module = "org.bouncycastle:bcpkix-jdk18on", version.ref = "bcpkix-version"}
+angus-core = { module = "org.eclipse.angus:angus-core", version.ref="angus-version"}
+angus-mail = { module = "org.eclipse.angus:angus-mail", version.ref="angus-version"}