ZEISS FORUM データ管理ソリューションを ご利用のお客様向け情報:

Java デシリアライゼーション脆弱性につ いて(CWE-502)

説明:

Java デシリアライゼーションは、悪意のある攻撃者が当該コンピューター上にアク セス・操作ができる場合において、意図的に改変したシリアライズオブジェクトを システムに挿入・差し替えを行うことで、 任意のコードを実行することが可能な脆 弱性です。

この問題はサイバーセキュリティのみの問題で、患者の健康や安全には影響があり ません。ZEISS FORUM の安全性と性能にも影響はありません。また、日本国内では FORUM を外部インターネットに公開した運用を一切していないため、外部から当該脆 弱性を使用した攻撃を受ける可能性は非常に低いと考えています。

影響について:

Java デシリアライゼーションによる脆弱性が問題になる場合は、以下すべての条件 が満たされる場合です。

  1. インターネット常時接続環境や、攻撃者が当該コンピューター上にアクセス・操作が容易にできること。
  2. FORUM ユーザーのユーザー名とパスワードについて熟知し、当該脆弱性を知っており、かつそれを悪用する高い技術力を有する場合。

影響を受けるバージョン:

この脆弱性が影響するのは次の FORUM バージョンです:

  • FORUM 4.2.1
  • FORUM 4.2.3
  • FORUM 4.2.4

推奨される処置:

1. 脆弱性を解消する
ZEISS では、サイバーセキュリティの維持のため、FORUM のバージョンを 4.2.5 にアップデートすることを推奨しています。
「FORUM 4.2.5」というラベルの付いたソフトウェアパッチをインストールすることで、 上記の脆弱性が解消されます。お近くの ZEISS サービスチームにお問い合わせください。 ZEISS FORUM ソフトウェアのアップグレードの詳細については、お近くの ZEISS サービスチームにお問い合 わせください。

2. リスクを減らす

パッチを適用することで対処することも可能ですが、当該コンピューターが属する ネットワークに部外者または不特定多数がアクセスできないようにしてください。
可能であれば、FORUM ユーザーアカウントには LDAP または SSO を使用してください 。これらは、複雑なパスワード、パスワードの失効といった、より複雑な認証スキ ームをサポートしているからです。
LDAP も SSO も使用できない場合は、ユーザーアカウント情報に対して以下を実施し てください:

  • 初期パスワードを変更する
  • 強力なパスワードを使用する
  • パスワードを共有しない
  • すべてのユーザーに個別のアカウントを持たせる
  • 退職した場合など、必要なくなったユーザーアカウントは停止する
  • 定期的にパスワードを変更する
  • 大文字、小文字、数字、特殊文字の組み合わせをパスワードに使用する

ZEISS FORUM のアップデートにサポートが必要な場合は、お近くのサービスチームに ご連絡ください。