In den Laufzeitbibliotheken der Mule 3.x Middleware kommen Jackson Databind-Bibliotheken zum Einsatz. In diesen gibt es gleich mehrere Schwachstellen, die der Hersteller Ende August 2019 gepatcht hat. Hier eine kurze Übersicht.
Anzeige
Ich weiß nicht, wie viele Blog-Leser/innen Middleware administrieren, nehme die Information aber mal hier im Blog mit auf.
Wer ist MuleSoft und was ist Mule?
Kurz zur Einordnung: MuleSoft, LLC. ist ein Softwareunternehmen mit Hauptsitz in San Francisco, Kalifornien, das Integrationssoftware zum Verbinden von Anwendungen, Daten und Geräten anbietet. Inzwischen gehört MuleSoft zu Salesforce – die Wikipedia hält hier einige Informationen bereit. Die deutschsprachige Webseite des Unternehmens findet sich hier. Zitat von deren Webseite:
Die Konnektivitätsplattform zum Antrieb der digitalen Transformation
MuleSoft stellt Ihnen eine zentrale Plattform für APIs und Integrationen bereit, mit der Sie sämtliche Apps, Daten und Geräte noch schneller verbinden können – lokal, in der Cloud oder hybrid.
Die sind bei Airbus, Unilever, Asics, HSBC, Netflix, Bank of Ireland, Coca Cola und vielen weiteren Unternehmen im Geschäft.
Schwachstellen in Mule 3.8 – 3.9
Mit Datum 8. August 2019 hat MuleSoft eine Sicherheitswarnung zu mehreren Schwachstellen in Mule 3.8 bis 3.9x herausgegeben. Es gibt gleich mehrere Schwachstellen im Zusammenhang mit den Jackson Databind-Bibliotheken:
Der Anbieter schreibt, dass die Mule-Laufzeitumgebung (Runtime) zwar die Jackson Databind Bibliotheken verwendet. Aber die Schwachstellen gelten aus den für Mule Anwendungen heraus als nicht ausnutzbar. Allerdings sind einige Kunden aufgrund ihrer Sicherheitsrichtlinien verpflichtet, diese Art von Schwachstellen zu patchen. In der Sicherheitswarnung schreibt MuleSoft, dass es für die Jackson-bezogenen Schwachstellensicher sei, die Mule Runtime zu aktualisieren, um die Jackson Databind-Bibliotheken auf die Version 2.9.9.9 zu bringen. Details finden sich in der Sicherheitswarnung.
You've read about vulnerability disclosure disasters, now read about a feel-good story.
How MuleSoft patched a critical security flaw and avoided a disasterhttps://t.co/PAsSkjofvC #tip @techmeme pic.twitter.com/d1oNtsGhE0
— Catalin Cimpanu (@campuscodi) September 1, 2019
ZDNet hat einen englischsprachigen Beitrag mit einigen Informationen rund um diesen Sachverhalt veröffentlicht. Wer also für Mule 3.x verantwortlich zeichnet, sollte sich mit den verlinkten Dokumenten befassen.
Anzeige
2015
