Medical Technology for healthcare professionals
back
Medical Technology

Den här sidan informerar kunder med ZEISS FORUM datahanteringslösning om:

Java-deserialiseringssårbarhet cybersäkerhetsuppdatering (CWE-502)

Beskrivning:

Java-deserialisering är en cybersäkerhetssårbarhet som uppstår när en obehörig användare försöker infoga ett modifierat serialiserat objekt i systemet som med tiden komprometterar systemet eller dess data. Det innebär att skadlig kod kan köras på ZEISS FORUM-servern, vilket betyder att en potentiell angripare kan överta kontrollen.

Det här problemet handlar helt och hållet om cybersäkerhet och riskerar inte patientens hälsa och säkerhet. Det påverkar inte heller säkerheten och prestandan i ZEISS FORUM.

Fara förenad med problemet:

Deserialisering är endast möjligt om:

  1. en angripare kommer åt organisationens nätverk och
  2. en angripare känner till en FORUM-användares användarnamn och lösenord, är medveten om sårbarheten och kan utnyttja den.

Berörda versioner:

Sårbarheten berör följande FORUM-versioner:

  • FORUM 4.2.1
  • FORUM 4.2.3
  • FORUM 4.2.4

Rekommenderade åtgärder:

1. Eliminera sårbarheten
ZEISS rekommenderar att du uppdaterar FORUM till version 4.2.5 för att säkerställa fortsatt cybersäkerhet.
En programkorrigeringsfil som heter FORUM 4.2.5 finns tillgänglig för installation. Korrigeringsfilen avlägsnar den beskrivna sårbarheten.
Kontakta ditt lokala ZEISS-serviceteam för mer information om att uppgradera din ZEISS FORUM-programvara.

2. Minska risken
Även om vi rekommenderar alla starkt att installera korrigeringsfilen har vi även identifierat några steg för att minska risken.
Implementera eller fortsätt om möjligt att använda LDAP eller SSO för FORUM-användarkonton eftersom de har stöd för mer komplexa autentiseringsmetoder som komplexa lösenord, begränsad giltighetstid för lösenord osv.
När LDAP eller SSO inte är möjligt rekommenderar vi att du implementerar bästa rutiner för din användarkontoinformation:

  • Ändra standardlösenord
  • Använd starka lösenord
  • Dela inte lösenord
  • Alla användare har individuella konton
  • Avaktivera användarkonton om de inte längre behövs, till exempel efter att en medarbetare lämnat organisationen
  • Ändra lösenord regelbundet
  • Använd kombinationer av stora och små bokstäver, siffror, specialtecken osv. i lösenord

Kontakta ditt lokala serviceteam om du behöver hjälp med att uppdatera ZEISS FORUM