- Desktop
- ZEISS サイバーセキュリティ
- ZEISS FORUM データ管理ソ リューションをご利用のお客様向け情報
ZEISS FORUM データ管理ソ リューションをご利用のお客様向け情報:
Java デシリアライゼーション脆弱性について(CWE-502 )
概要:
Javaデシリアライゼーションは、悪意のある攻撃者が当該コンピューター上にアクセス・操作ができる場合において、意図的に改変したシリアライズオブジェクトをシステムに挿入・差し替えを行うことで、任意のコードを実行することが可能な脆弱性です。
この問題はサイバーセキュリティのみの問題で、患者の健康や安全には影響がありません。ZEISS FORUM の安全性と性能にも影響はありません。また、日本国内ではFORUMを外部インターネットに公開した運用を一切していないため、外部から当該脆弱性を使用した攻撃を受ける恐れはありません。
影響について
Javaデシリアライゼーションによる脆弱性が問題になる場合は、以下すべての条件が満たされる場合です:
- 攻撃者が当該コンピューター上にアクセス・操作が容易にできること。
- FORUM ユーザーのユーザー名とパスワードを知っており、当該脆弱性について熟知し、かつそれを悪用する高い技術力を有する場合。
影響を受けるバージョン:
この脆弱性が影響するのは次のFORUM バージョンです:
- FORUM 4.2.1
- FORUM 4.2.3
- FORUM 4.2.4
推奨される処置:
1. 脆弱性を解消する
「FORUM 4.2.5」というラベルの付いたソフトウェアパッチをインストールすることで上記の脆弱性が解消されます。
2. リスクを減らす
パッチを適用することで対処することも可能ですが、当該コンピューターが属するネットワークに部外者または不特定多数がアクセスできないようにしてください。
ZEISS FORUM のアップデートにサポートが必要な場合は、お近くのZEISSサービスチームにご連絡ください。.
発行日:2022年2月15日
最終更新日:2022年2月15日