You are on our international English website. This site features our entire product portfolio worldwide. The products featured may not be available in the US. If you are a citizen from the US, please visit your country website for local information and contacts.
Medical Technology for healthcare professionals
Global website (English)
back
Medical Technology
recommended searches
popular searches
Back to overview

Esta página tem como objetivo informar os clientes da solução de gestão de dados do ZEISS FORUM sobre:

Atualização de cibersegurança acerca da vulnerabilidade de desserialização de Java (CWE-502)

Descrição:

A desserialização de Java é uma vulnerabilidade de cibersegurança que ocorre quando um utilizador malicioso tenta inserir um objeto serializado modificado no sistema, que, eventualmente, compromete o sistema ou os seus dados. Isto significa que um código malicioso poderia ser executado no servidor do ZEISS FORUM, permitindo que um potencial atacante assuma o controlo.

Esta questão está exclusivamente relacionada com a cibersegurança e não compromete a saúde e segurança do paciente. Também não tem impacto na segurança e desempenho do ZEISS FORUM.

Perigo em causa:

A desserialização só é possível se:

  1. um atacante obtiver acesso à rede da organização e
  2. um atacante souber o nome de utilizador e a palavra-passe de um utilizador do FORUM, estiver consciente da vulnerabilidade e for capaz de a explorar.

Versões afetadas:

A vulnerabilidade afeta as seguintes versões do FORUM:

  • FORUM 4.2.1
  • FORUM 4.2.3
  • FORUM 4.2.4

Ações recomendadas:

1. Encerrar a vulnerabilidade
A ZEISS recomenda a atualização do FORUM para a versão 4.2.5, de forma a garantir a continuidade da cibersegurança.
Está disponível para instalação um patch de software com o nome FORUM 4.2.5. Este patch encerra a vulnerabilidade descrita.
Entre em contacto com a sua equipa local do ZEISS Service para mais informações sobre como atualizar o seu software ZEISS FORUM.

2. Mitigar o risco
Embora a instalação do patch seja altamente recomendada, identificámos ainda algumas medidas de mitigação.
Sempre que possível, implementar ou continuar a utilizar LDAP ou SSO para as contas de utilizadores do FORUM, uma vez que estes suportam esquemas de autenticação mais complexos, por exemplo, palavras-passe complexas, expiração de palavra-passe, etc.
Quando não for possível utilizar LDAP ou SSO, recomenda-se a implementação das melhores práticas para a informação da sua conta de utilizador:

  • Alterar as palavras-passe predefinidas
  • Utilizar palavras-passe seguras
  • Não partilhar palavras-passe
  • Criar contas individuais para todos os utilizadores
  • Desativar as contas de utilizadores quando estas deixem de ser necessárias, por exemplo, após a saída de um funcionário da empresa
  • Alterar as palavras-passe a intervalos regulares
  • Ao definir palavras-passe, utilizar combinações de letras maiúsculas e minúsculas, números, caracteres especiais, etc.

  

Consulte entre em contacto com a equipa local de assistência técnica se precisar de apoio para atualizar o seu ZEISS FORUM.