Denne siden er for å informere kunder av ZEISS FORUM-datastyringsløsning om:
Cybersikkerhetsoppdatering i forbindelse med Java-deserialiseringssårbarhet (CWE-502)
Beskrivelse:
Java-deserialisering er en cybersikkerhetssårbarhet som oppstår når en bruker med onde hensikter prøver å sette inn et modifisert serialisert objekt i systemet som til slutt ødelegger systemet eller dataene i det. Det betyr at skadelig kode kan kjøres på ZEISS FORUM-serveren, noe som lar en potensiell angriper ta over kontrollen.
Dette problemet er kun knyttet til cybersikkerhet og er ikke til fare for pasientens helse og sikkerhet. Det har heller ingen innvirkning på sikkerheten og ytelsen til ZEISS FORUM.
Farer involvert:
Deserialisering er bare mulig hvis:
- en angriper får tilgang til organisasjonens nettverk og
- en angriper kjenner til brukernavnet og passordet til en FORUM-bruker, er klar over sårbarheten og er i stand til å utnytte den.
Berørte versjoner:
Sårbarheten berører de følgende FORUM-versjonene:
- FORUM 4.2.1
- FORUM 4.2.3
- FORUM 4.2.4
Anbefalte handlinger:
1. Lukk sårbarheten
ZEISS anbefaler at du oppdaterer FORUM til versjon 4.2.5 for å sikre fortsatt cybersikkerhet.
En programvareoppdatering merket FORUM 4.2.5, er tilgjengelig for installasjon. Denne oppdateringen lukker den nevnte sårbarheten.
Ta kontakt med det lokale ZEISS-serviceteamet for mer informasjon om oppgradering av ZEISS FORUM-programvaren din.
2. Reduser risikoen
Selv om installasjon av oppdateringen anbefales på det sterkeste, har vi også funnet noen tiltak som reduserer risikoen.
Implementer eller fortsett å bruke LDAP eller SSO der det er mulig for FORUM-brukerkontoer, da dette støtter et mer komplisert autentiseringssystem, f.eks.: kompliserte passord, passordutløp osv.
Når LDAP eller SSO ikke er mulig, anbefales det at du implementerer beste praksiser for brukerkontoinformasjonen din:
- Endre standardpassord
- Bruk sterke passord
- Ikke del passord
- Alle brukere har egne kontoer
- Deaktiver brukerkontoer når det ikke er behov for dem lenger, f.eks. etter at en ansatt forlater organisasjonen
- Endre passord med jevne mellomrom
- Bruk kombinasjoner av store og små bokstaver, tall, spesialtegn osv. i passord
Kontakt det lokale serviceteamet hvis du trenger hjelp med å oppdatere ZEISS FORUM.