Denne side indeholder information til brugere af ZEISS FORUM-datastyringsløsningen om:

Java cybersikkerhedsopdatering vedr. deserialiseringssårbarhed (CWE-502)

Beskrivelse:

Java deserialisering er en cybersikkerhedssårbarhed, som opstår, hvis en bruger med ondsindede hensigter forsøger at indsætte et ændret serialiseret objekt i systemet, som i sidste ende kompromitterer selve systemet eller data i systemet. Det betyder, at en skadelig kode kan installeres på ZEISS FORUM-serveren, hvilket giver en potentiel angriber mulighed for at overtage kontrollen.

Dette problem vedrører udelukkende cybersikkerheden og bringer ikke patientens helbred og sikkerhed i fare. Det påvirker heller ikke ZEISS FORUMs sikkerhed og ydelse.

Risici:

Deserialisering er kun mulig, hvis:

  1. en angriber opnår adgang til organisationens netværk og
  2. en angriber kender brugernavn og password til en FORUM-bruger, er klar over sårbarheden og er i stand til at udnytte den.

Berørte versioner:

Sårbarheden berører følgende FORUM-versioner:

  • FORUM 4.2.1
  • FORUM 4.2.3
  • FORUM 4.2.4

Anbefalede handlinger:

1. Eliminer sårbarheden
ZEISS anbefaler, at du opdaterer FORUM til version 4.2.5 for at sikre fortsat cybersikkerhed.
En patch ved navn FORUM 4.2.5 er tilgængelig til installation. Denne patch fjerner den beskrevne sårbarhed.
Kontakt dit lokale ZEISS Service-team for at få yderligere oplysninger om opgradering af din ZEISS FORUM-software.

2. Reducer risikoen
Selvom det på det kraftigste anbefales at installere patchen, har vi også identificeret en række risikobegrænsende foranstaltninger.
Indfør om muligt eller fortsæt med at bruge LDAP eller SSO til FORUM-brugerkontiene, da de understøtter mere komplekse autentificeringsordninger, f.eks. komplekse passwords, udløb af passwords etc.
Hvis det ikke er muligt at anvende LDAP eller SSO, anbefales du at indføre bedste praksis for dine brugerkontooplysninger:

  • Skift standardpasswords
  • Brug stærke passwords
  • Del ikke passwords
  • Alle brugere har individuelle konti
  • Deaktivér brugerkonti, der ikke længere er brug for, f.eks. når en medarbejder forlader organisationen
  • Skift passwords med regelmæssige intervaller
  • Brug kombinationer af store og små bogstaver, tal, specialtegn etc. i passwords

Kontakt dit lokale serviceteam, hvis du har brug for hjælp til at opdatere ZEISS FORUM.