Medical Technology for healthcare professionals
back
Medical Technology

Informationen für Benutzer und Kunden der ZEISS FORUM Datenmanagementlösung:

Sicherheitsupdate für die Sicherheitslücke in der Java-Deserialisierung (CWE-502)

Beschreibung

Die Java-Deserialisierung ist eine Schwachstelle, durch die böswillige Benutzer durch Einfügen eines modifizierten serialisierten Objekts in das System schlussendlich das gesamte System oder dessen Daten kompromittieren können. Das bedeutet, dass Schadcode auf dem ZEISS FORUM Server ausgeführt werden könnte, durch den ein potenzieller Angreifer die Steuerung übernehmen kann.
Dieses Problem betrifft ausschließlich die Sicherheit der IT-Infrastruktur und hat keinerlei Auswirkungen auf die Gesundheit und Sicherheit der Patienten. Es wirkt sich ebenso wenig auf die Sicherheit und Leistung von ZEISS FORUM aus.

Mögliche Gefahren

Eine Deserialisierung ist nur möglich, wenn:
  1. ein Angreifer Zugriff auf das Netzwerk der Organisation erhält und
  2. ein Angreifer Benutzernamen und Passwort eines FORUM Benutzers kennt, von der Sicherheitslücke weiß und dazu fähig ist, diese auszunutzen.

Betroffene Versionen

Die Sicherheitslücke betrifft folgende Versionen von FORUM:

  • FORUM 4.2.1
  • FORUM 4.2.3
  • FORUM 4.2.4

Empfohlene Maßnahmen

1. Schließen der Sicherheitslücke
ZEISS empfiehlt, FORUM auf die Version 4.2.5 zu aktualisieren, um eine anhaltende Sicherheit der IT-Infrastruktur zu gewährleisten.
Ein Software-Patch mit der Bezeichnung FORUM 4.2.5 steht zur Installation bereit. Dieses Patch schließt die beschriebene Sicherheitslücke.
Für weitere Informationen zur Aktualisierung der ZEISS FORUM Software wenden Sie sich bitte an den lokalen ZEISS Kundendienst..

2. Reduzieren des Risikos
Obwohl die Installation des Patchs dringend empfohlen wird, haben wir auch einige Möglichkeiten zur Verringerung des Sicherheitsrisikos ermittelt. Nutzen Sie für Ihre FORUM Konten sofern möglich weiterhin bzw. implementieren Sie ein LDAP-Netzwerkprotokoll oder ein SSO-Anmeldeverfahren. Diese unterstützen komplexere Authentifizierungsverfahren, wie etwa komplexe Passwörter, auslaufende Passwörter usw. Wenn die Nutzung von LDAP oder SSO nicht möglich ist, so wird empfohlen, dass Sie die Best Practices für die Verwaltung von Benutzerkonten anwenden:

  • Ändern Sie Standardpasswörter
  • Nutzen Sie sichere Passwörter
  • Geben Sie Passwörter nicht weiter
  • Geben Sie jedem Anwender ein individuelles Benutzerkonto
  • Deaktivieren Sie Benutzerkonten, wenn diese nicht mehr gebraucht werden, wie z. B. nach Beendigung eines Arbeitsverhältnisses
  • Ändern Sie die Passwörter in regelmäßigen Abständen
  • Nutzen Sie für Passwörter Kombinationen aus Groß- und Kleinbuchstaben, Ziffern, Sonderzeichen usw.

 

Wenden Sie sich bitte an Ihren lokalen Kundendienst, wenn Sie bei der Aktualisierung von ZEISS FORUM Unterstützung benötigen.