MuleSoft: Schwachstellen in Jackson Databind Libraries

In den Laufzeitbibliotheken der Mule 3.x Middleware kommen Jackson Databind-Bibliotheken zum Einsatz. In diesen gibt es gleich mehrere Schwachstellen, die der Hersteller Ende August 2019 gepatcht hat. Hier eine kurze Übersicht.


Anzeige

Ich weiß nicht, wie viele Blog-Leser/innen Middleware administrieren, nehme die Information aber mal hier im Blog mit auf.

Wer ist MuleSoft und was ist Mule?

Kurz zur Einordnung: MuleSoft, LLC. ist ein Softwareunternehmen mit Hauptsitz in San Francisco, Kalifornien, das Integrationssoftware zum Verbinden von Anwendungen, Daten und Geräten anbietet. Inzwischen gehört MuleSoft zu Salesforce – die Wikipedia hält hier einige Informationen bereit. Die deutschsprachige Webseite des Unternehmens findet sich hier. Zitat von deren Webseite:

Die Konnektivitätsplattform zum Antrieb der digitalen Transformation

MuleSoft stellt Ihnen eine zentrale Plattform für APIs und Integrationen bereit, mit der Sie sämtliche Apps, Daten und Geräte noch schneller verbinden können – lokal, in der Cloud oder hybrid.

Die sind bei Airbus, Unilever, Asics, HSBC, Netflix, Bank of Ireland, Coca Cola und vielen weiteren Unternehmen im Geschäft.  

Schwachstellen in Mule 3.8 – 3.9


Anzeige

Mit Datum 8. August 2019 hat MuleSoft eine Sicherheitswarnung zu mehreren Schwachstellen in Mule 3.8 bis 3.9x herausgegeben. Es gibt gleich mehrere Schwachstellen im Zusammenhang mit den Jackson Databind-Bibliotheken:

Der Anbieter schreibt, dass die Mule-Laufzeitumgebung (Runtime) zwar die Jackson Databind Bibliotheken verwendet. Aber die Schwachstellen gelten aus den für Mule Anwendungen heraus als nicht ausnutzbar. Allerdings sind einige Kunden aufgrund ihrer Sicherheitsrichtlinien verpflichtet, diese Art von Schwachstellen zu patchen. In der Sicherheitswarnung schreibt MuleSoft, dass es für die Jackson-bezogenen Schwachstellensicher sei,  die Mule Runtime zu aktualisieren, um die Jackson Databind-Bibliotheken auf die Version 2.9.9.9 zu bringen. Details finden sich in der Sicherheitswarnung.

ZDNet hat einen englischsprachigen Beitrag mit einigen Informationen rund um diesen Sachverhalt veröffentlicht. Wer also für Mule 3.x verantwortlich zeichnet, sollte sich mit den verlinkten Dokumenten befassen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.