Cette page vise à informer les clients de la solution de gestion de données ZEISS FORUM sur les points suivants :

Mise à jour de cybersécurité concernant la vulnérabilité de désérialisation Java (CWE-502)

Description

La désérialisation Java est une vulnérabilité de cybersécurité qui se produit lorsqu'un utilisateur malveillant tente d'insérer dans le système un objet sérialisé modifié qui finit par compromettre le système ou ses données. Un code malveillant pourrait alors être exécuté sur le serveur ZEISS FORUM, permettant à un assaillant potentiel de prendre le contrôle.

Ce problème relève uniquement de la cybersécurité et ne compromet pas la santé et la sécurité du patient. Il n'a également aucun impact sur la sécurité et les performances de ZEISS FORUM.

Risques encourus

La désérialisation n'est possible que si :

  1. un assaillant obtient l'accès au réseau de l'organisation ;
  2. et qu'il connaît le nom d'utilisateur et le mot de passe d'un utilisateur de FORUM, est conscient de la vulnérabilité et est capable de l'exploiter.

Versions concernées

La vulnérabilité affecte les versions suivantes de FORUM :

  • FORUM 4.2.1
  • FORUM 4.2.3
  • FORUM 4.2.4

Actions recommandées

1. Éliminer la vulnérabilité
ZEISS recommande de mettre à jour FORUM à la version 4.2.5 pour assurer une cybersécurité continue.
Un correctif logiciel FORUM 4.2.5 est disponible pour installation. Ce patch élimine la vulnérabilité décrite. Veuillez contacter votre équipe ZEISS Service locale pour des informations supplémentaires sur la mise à jour de votre logiciel ZEISS FORUM.

2. Limiter le risque
L'installation du correctif est fortement recommandée, mais nous avons également identifié quelques mesures d'atténuation.
Dans la mesure du possible, mettez en oeuvre ou continuez à utiliser LDAP ou SSO pour les comptes d'utilisateurs de FORUM, car ils prennent en charge des systèmes d'authentification plus complexes, par exemple : mots de passe complexes, expiration du mot de passe, etc.
Lorsque l'utilisation de LDAP ou SSO n'est pas possible, il est recommandé de respecter les bonnes pratiques suivantes relatives aux informations de votre compte utilisateur :

  • modification des mots de passe par défaut ;
  • utilisation de mots de passe forts ;
  • aucun partage de mots de passe ;
  • comptes individuels pour tous les utilisateurs ;
  • désactivation des comptes d'utilisateurs lorsqu'ils ne sont plus nécessaires, par exemple lorsqu'un employé quitte l'organisation ;
  • changement des mots de passe à intervalles réguliers ;
  • mots de passe mêlant les lettres majuscules et minuscules, les chiffres, les caractères spéciaux, etc.

Contactez votre équipe de service locale si vous avez besoin d'aide pour mettre à jour votre logiciel ZEISS FORUM.