Informativa ai nostri Clienti sulla soluzione per la gestione dei dati ZEISS FORUM:

Aggiornamento di sicurezza informatica per vulnerabilità alla deserializzazione in Java (CWE-502)

Descrizione

La deserializzazione in Java è una vulnerabilità di sicurezza informatica che si verifica quando un utente malintenzionato riesce a inserire nel sistema un oggetto serializzato modificato in grado di compromettere il sistema stesso o i dati al suo interno. Ciò significa che il server ZEISS FORUM potrebbe eseguire un codice dannoso e far sì che l'utente malintenzionato possa prenderne il controllo.

Il problema riguarda solo la sicurezza informatica; non interessa né la sicurezza e la salute del paziente né l'integrità e le prestazioni del software ZEISS FORUM.

Rischio interessato

La deserializzazione è possibile solo se un utente malintenzionato:

  1. riesce ad accedere alle rete dell'organizzazione e
  2. conosce nome utente e password di un utente di FORUM; è a conoscenza della vulnerabilità ed è in grado di sfruttarla.

Versioni interessate

La vulnerabilità interessa le seguenti versioni di FORUM:

  • FORUM 4.2.1
  • FORUM 4.2.3
  • FORUM 4.2.4

Azioni consigliate

1. Correggere la vulnerabilità
ZEISS consiglia di aggiornare il software FORUM alla versione 4.2.5 per continuare a garantire la sicurezza informatica.
La patch FORUM 4.2.5 è disponibile per l'installazione e permette di correggere la vulnerabilità.
Contattate il team ZEISS Service locale per maggiori informazioni su come eseguire l'upgrade del software ZEISS FORUM.

2. Mitigare il rischio
L'installazione della patch è altamente consigliata, tuttavia abbiamo identificato anche alcune strategie di mitigazione del rischio.
Se possibile, implementate o continuate a utilizzare LDAP o SSO per gli account utente FORUM: questi protocolli supportano schemi di autenticazione più sicuri, come le password complicate o con scadenza.
Se non è possibile utilizzare un protocollo LDAP o SSO, consigliamo di adottare queste pratiche ottimali per proteggere le informazioni dell'account utente:

  • Modificare le password predefinite
  • Usare password sicure
  • Non condividere le password
  • Assegnare un account individuale a ogni utente
  • Disattivare gli account utente non più necessari, ad esempio quelli di ex dipendenti
  • Modificare le password a intervalli regolari
  • Creare password che contengano combinazioni di lettere maiuscole e minuscole, numeri, caratteri speciali e così via

Contattate il team di assistenza locale se avete bisogno di assistenza per l'aggiornamento di ZEISS FORUM.