Statement zu log4shell


Seit Bekanntwerden der log4shell genannten Sicherheitslücke untersuchen wir unsere Software-Lösungen und sind im intensiven Austausch mit unseren Partnern, um Ihnen weitere Informationen zur Verfügung zu stellen.

 

tomedo Funktionen Anmeldung

— Hinweis —

 

Wir werden die Seite fortlaufend aktualisieren, wenn uns neue Informationen zur Verfügung stehen.

KIM-Client Kritisch

Unser Partner Arvato-Bertelsmann hat uns über folgenden Sachverhalt informiert:

“… dass die zentralen Komponenten des VPN Zugangsdienstes, des Fachdienstes kim+ und des Fachdienste Portals (SSP) nicht von der Schwachstelle betroffen sind. Die betroffenen Bibliotheken sind dort nicht im Einsatz.

Alle bisher veröffentlichten Versionen des kim+ Clientmoduls sind potenziell von dem Problem betroffen. Nach aktueller Analyse sehen wir ein Risiko vor allem dann, wenn das kim+ Clientmodul über das Internet erreichbar ist. Wir empfehlen im ersten Schritt die Konfiguration zu prüfen und anzupassen, so dass das kim+ Clientmodul nur im LAN erreichbar ist.

Zur finalen Behebung der Schwachstelle wird noch heute im Laufe des Tages eine aktualisierte, abgesicherte Version des kim+ Clientmoduls auf dem bekannten Downloadpunkt bereitgestellt. Es wird dringend empfohlen, diese aktualisierte Version schnellstmöglich zu installieren.Sobald die neue Version verfügbar ist, werden Sie auf diesem Wege umgehend informiert.”

Update:

“hiermit informieren wir Sie, dass auf dem bekannten Downloadpunkt index of /download/current ab sofort eine aktualisierte, abgesicherte Version des kim+ Clientmoduls (V 1.4.1.2) zum Download bereitgestellt wird.
Diese Version enthält die Log4j-Bibliothek in der Version 2.16.0 und behebt somit die unter CVE-2021-44228 bekannt gewordenen Schwachstellen.
Bitte setzen Sie für Neu-Installationen nur noch diese Version ein und aktualisieren Sie bereits installierte Versionen des kim+ Clientmoduls gemäß Anwenderhandbuch, Kap. 4.3.8 (-> steht auch im Self-Service Portal zur Verfügung). 
Zur Aktualisierung muss lediglich der Installer ausgeführt werden, vorhandene Konfigurationseinstellungen bleiben erhalten.
Sollten Sie das kim+ Clientmodul unter Linux betreiben, ist zusätzlich ein Neustart des Betriebssystems erforderlich.”

UPDATE 16.12.21

Nachdem das Update jetzt verfügbar ist (s.o.) und wir es getestet haben, stellen wir Ihnen hier eine kurze Installationsanleitung zur Verfügung:

Zu den KIM-Modulen anderer zugelassener KIM-Anbieter liegen uns aktuell keine Informationen vor. Bitte wenden Sie sich an den jeweiligen Hersteller.

Empfehlung zollsoft: Bis zur Bereitsstellung und dem Einspielen der aktualisierten Version stoppen Sie bitte den KIM Client. Nachdem Update starten Sie bitte den KIM Client wieder.

Das neue kim+ Client Modul wird gerade von uns getestet. Im Anschluss stellen wir Ihnen hier eine Installationsanleitung zur Verfügung.

Zu den KIM-Modulen anderer zugelassener KIM-Anbieter liegen uns aktuell keine Informationen vor. Bitte wenden Sie sich an den jeweiligen Hersteller.

KBV Prüfmodul Kritisch

Die KBV hat uns wie folgt informiert:

“Hierzu [der betroffenen Software] zählen unter anderem auch die KBV-Prüfmodule, die wir Herstellern von Praxisverwaltungssystemen, … zur Verfügung stellen. Aktuell werden in den betroffenen Programmen die Log4J Bibliotheken ausgetauscht. Nach erfolgreicher Qualitätssicherung stellen wir Ihnen kurzfristig die geänderten Softwareprodukte zur Verfügung und bitte Sie um Integration sowie Rollout.”

Update

“… wurden heute die KBV-Prüfmodule, das Kryptomodul sowie der Prüfassistent für das vierte Quartal 2021 aktualisiert bereitgestellt. “

UPDATE 16.12.21

Ab den Versionen v1.105s420 (neue Server-Tools) und v1.106 ist das aktualisierte KBV-Prüfmodul enthalten.

Ferner liegt ein FAQ-Dokument der KBV vor: https://update.kbv.de/ita-update/Ankuendigung/log4j/KBV_ITA_SIEX_Log4j_FAQ.pdf

Wir werden das geänderte KBV-Prüfmodul mit einem der nächsten Updates an Sie verteilen, sobald es von uns getestet wurde.

Fiskal Cloud Connector (FCC)

Es gab eine theoretisch Möglichkeit, dass dieser Service bzw. diese Schnittstelle betroffen war. Am 13.12.21 wurde zur Erhöhung der Sicherheit alle Services der Fiskal Cloud zusätzlich dahingehend umkonfiguriert, dass der Exploit nicht mehr möglich ist.
Auf beiden Seiten der Schnittstelle wurden Anpassungen vorgenommen, um den Schutz nochmals zu erhöhen.
Auf tomedo-Seite erfolgt dies mit der Version 1.105.

Stoppen des Fiskal Cloud Connectors (FCC)

tomedo®

Wir analysieren weiterhin unser PVS tomedo. Aktuell haben wir keine Erkenntnis, dass im tomedo Server und Client die Schwachstelle genutzt werden kann.

Bitte beachten Sie aber unsere nächsten Updates und installieren Sie sie zeitnah.

Weitere zollsoft Produkte

Unsere weiteren Anwendungen sind ebenfalls nicht betroffen:

Legende für die folgenden Tabellen

Nach unseren Informationen ist die Software nicht von der Schwachstelle betroffen.

Nach unseren Informationen ist die Software von der Schwachstelle betroffen. Informieren Sie sich beim Hersteller über den genauen Sachverhalt.

Uns liegen aktuell keine Informationen vor. Bitte wenden Sie sich an den jeweiligen Hersteller.

Konnektoren

secunet
RISE

Zum RISE Konnektor liegt uns folgende Information der KBV vor:

“… der RISE-Konnektor ist von der Schwachstelle Log4shell ebenfalls betroffen. 
RISE hat für ihren Konnektor ein Update, das zur Beseitigung der log4j-Schwachstelle erforderlich ist, auf dem Konfigurations- und Software-Repository (KSR) bereitgestellt, welches i.d.R. automatisiert eingespielt wird. Das Update ist zur Beseitigung der log4j-Schwachstelle erforderlich. Eine Gefährdung für den Konnektor über die Außenschnittstelle zum Internet besteht laut Aussage der gematik nicht.”

KoCoBox

Information zur BSI Warnmeldung Log4j

Labor-OrderEntry und Laborabruf Software

Managed IT, Cloud, Hosting, and Security Solutions – CloudScale365
CGM-Channel (CompuGroup)
ixmid (Synlab, amedes)
AB+M
MelosMDN
DGN LOEM
Labgate (Vireq)
MedNet (in der Schweiz)

Virtualisierungssoftware

Die folgende Virtualisierungssoftware ist nach unserem bisherigen Wissen nicht betroffen:

Parallels
VMWare
VirtualBox
Docker

Telefonanlagen

Fax-Programme

LifeTime

PamFax

simple-fax

eFax

Aufklärungsbögen

Thieme (Diomed)
Perimed
Idana
Synmedico
Ikonion (Augenärzte)

Informationen über weitere Fremdsoftware

Unter https://github.com/NCSC-NL/log4shell/tree/main/software finden Sie eine fortlaufend aktualisierte Liste über den Status weiterer Software.

Hinweis alte und neue Server-Tools

Dieser Hinweis dient nur dazu, zu erkennen, ob man die neuen oder alten Server-Tools hat und wo dort die Versionen zu sehen sind. Die maßgeblichen Versionen stehen oben im Text.

alte Server-Tools:

neue Server-Tools: