Tällä sivulla annetaan ZEISSin FORUM-tiedonhallintaratkaisun asiakkaille tietoa seuraavasta aiheesta:

Javan deserialisoinnin haavoittuvuutta koskeva kyberturvallisuuspäivitys (CWE-502)

Kuvaus:

Javan deserialisointi on kyberturvallisuuden haavoittuvuus, joka ilmenee, kun vahingontekotarkoituksessa toimiva käyttäjä yrittää lisätä muokatun serialisoidun objektin järjestelmään, mikä lopulta vaarantaa järjestelmän tai tämän tiedot. Käytännössä tämä tarkoittaa, että ZEISSin FORUM-palvelimella saatetaan toteuttaa vahingollinen koodi, jolloin hakkeri voi kaapata palvelimen.

Tämä ongelma liittyy vain kyberturvallisuuteen, eikä se vaaranna potilaiden terveyttä ja turvallisuutta. Se ei myöskään vaikuta ZEISSin FORUMin turvallisuuteen ja suorituskykyyn.

Kyseessä oleva vaara:

Deserialisointi on mahdollinen vain seuraavissa tapauksissa:

  1. jos hyökkääjä pääsee käsiksi organisaation verkkoon ja
  2. jos hyökkääjän tiedossa on FORUMin käyttäjän käyttäjänimi ja salasana ja jos hän tiedostaa haavoittuvuuden ja kykenee hyödyntämään sitä.

Versiot, joita vaara koskee:

Haavoittuvaisuus koskee seuraavia FORUM-versioita:

  • FORUM 4.2.1
  • FORUM 4.2.3
  • FORUM 4.2.4

Suositellut toimenpiteet:

1. Sulje haavoittuvaisuus
ZEISS suosittelee FORUMin päivittämistä 4.2.5-versioon kyberturvallisuuden takaamiseen jatkossakin.
Saatavilla on FORUM 4.2.5 -korjaus valmiina asennettavaksi. Tämä korjaus sulkee kuvaillun haavoittuvaisuuden.
Ota yhteyttä paikalliseen ZEISS-huoltotiimiin lisätietoja varten ZEISSin FORUM-ohjelmiston päivittämiseksi.

2. Lievennä riskiä
Vaikka korjauksen asentamista suositellaan voimakkaasti, olemme myös tunnistaneet joitakin lieventämisen vaiheita.
Kun mahdollista, ota käyttöön LDAP tai SSO tai jatka niiden käyttöä FORUM-käyttäjätileissä, sillä ne tukevat monimutkaisempia varmennusmenetelmiä, kuten monimutkaiset salasanat, salasanan umpeutuminen jne.
Kun LDAP tai SSO eivät ole mahdollisia, suosituksena on, että käytät parhaita käytäntöjä käyttäjätilisi tiedoissa:

  • vaihda oletussalasanat
  • käytä vahvoja salasanoja
  • älä jaa salasanoja
  • kaikilla käyttäjillä on henkilökohtaiset tilit
  • ota käyttäjätilit pois käytöstä, kun niitä ei enää tarvita, esim. kun työntekijä ei enää ole organisaation palveluksessa
  • vaihda salasanat säännöllisin aikavälein
  • käytä salasanoja, joissa on isoja ja pieniä kirjaimia, numeroita, erikoismerkkejä jne

Ota yhteyttä paikalliseen huoltotiimiin, jos tarvitset apua ZEISSin FORUM-ohjelmiston päivittämiseen.