![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
In den Laufzeitbibliotheken der Mule 3.x Middleware kommen Jackson Databind-Bibliotheken zum Einsatz. In diesen gibt es gleich mehrere Schwachstellen, die der Hersteller Ende August 2019 gepatcht hat. Hier eine kurze \u00dcbersicht. <\/p>\nIn den Laufzeitbibliotheken der Mule 3.x Middleware kommen Jackson Databind-Bibliotheken zum Einsatz. In diesen gibt es gleich mehrere Schwachstellen, die der Hersteller Ende August 2019 gepatcht hat. Hier eine kurze \u00dcbersicht. <\/p>\n
<\/p>\n
Ich wei\u00df nicht, wie viele Blog-Leser\/innen Middleware administrieren, nehme die Information aber mal hier im Blog mit auf. <\/p>\n
Kurz zur Einordnung: MuleSoft, LLC.<\/a> ist ein Softwareunternehmen mit Hauptsitz in San Francisco, Kalifornien, das Integrationssoftware zum Verbinden von Anwendungen, Daten und Ger\u00e4ten anbietet. Inzwischen geh\u00f6rt MuleSoft zu Salesforce \u2013 die Wikipedia h\u00e4lt hier<\/a> einige Informationen bereit. Die deutschsprachige Webseite des Unternehmens findet sich hier<\/a>. Zitat von deren Webseite:<\/p>\n Die Konnektivit\u00e4tsplattform zum Antrieb der digitalen Transformation<\/p>\n MuleSoft stellt Ihnen eine zentrale Plattform f\u00fcr APIs und Integrationen bereit, mit der Sie s\u00e4mtliche Apps, Daten und Ger\u00e4te noch schneller verbinden k\u00f6nnen \u2013 lokal, in der Cloud oder hybrid.<\/p>\n<\/blockquote>\n Die sind bei Airbus, Unilever, Asics, HSBC, Netflix, Bank of Ireland, Coca Cola und vielen weiteren Unternehmen im Gesch\u00e4ft. <\/p>\n Mit Datum 8. August 2019 hat MuleSoft eine Sicherheitswarnung<\/a> zu mehreren Schwachstellen in Mule 3.8 bis 3.9x herausgegeben. Es gibt gleich mehrere Schwachstellen im Zusammenhang mit den Jackson Databind-Bibliotheken:<\/p>\n Der Anbieter schreibt, dass die Mule-Laufzeitumgebung (Runtime) zwar die Jackson Databind Bibliotheken verwendet. Aber die Schwachstellen gelten aus den f\u00fcr Mule Anwendungen heraus als nicht ausnutzbar. Allerdings sind einige Kunden aufgrund ihrer Sicherheitsrichtlinien verpflichtet, diese Art von Schwachstellen zu patchen. In der Sicherheitswarnung schreibt MuleSoft, dass es f\u00fcr die Jackson-bezogenen Schwachstellensicher sei, die Mule Runtime zu aktualisieren, um die Jackson Databind-Bibliotheken auf die Version 2.9.9.9 zu bringen. Details finden sich in der Sicherheitswarnung. <\/p>\n You've read about vulnerability disclosure disasters, now read about a feel-good story.<\/p>\n How MuleSoft patched a critical security flaw and avoided a disasterhttps:\/\/t.co\/PAsSkjofvC<\/a> #tip<\/a> @techmeme<\/a> pic.twitter.com\/d1oNtsGhE0<\/a><\/p>\n \u2014 Catalin Cimpanu (@campuscodi) September 1, 2019<\/a><\/p><\/blockquote>\n\n
Schwachstellen in Mule 3.8 \u2013 3.9 <\/h2>\n<\/p>\n
\n
\n