Statement zu log4jshell

KIM-Client Kritisch

Unser Partner Arvato-Bertelsmann hat uns über folgenden Sachverhalt informiert:

„… dass die zentralen Komponenten des VPN Zugangsdienstes, des Fachdienstes kim+ und des Fachdienste Portals (SSP) nicht von der Schwachstelle betroffen sind. Die betroffenen Bibliotheken sind dort nicht im Einsatz.

Alle bisher veröffentlichten Versionen des kim+ Clientmoduls sind potenziell von dem Problem betroffen. Nach aktueller Analyse sehen wir ein Risiko vor allem dann, wenn das kim+ Clientmodul über das Internet erreichbar ist. Wir empfehlen im ersten Schritt die Konfiguration zu prüfen und anzupassen, so dass das kim+ Clientmodul nur im LAN erreichbar ist.

Zur finalen Behebung der Schwachstelle wird noch heute im Laufe des Tages eine aktualisierte, abgesicherte Version des kim+ Clientmoduls auf dem bekannten Downloadpunkt bereitgestellt. Es wird dringend empfohlen, diese aktualisierte Version schnellstmöglich zu installieren.Sobald die neue Version verfügbar ist, werden Sie auf diesem Wege umgehend informiert.“

Update:

„hiermit informieren wir Sie, dass auf dem bekannten Downloadpunkt index of /download/current ab sofort eine aktualisierte, abgesicherte Version des kim+ Clientmoduls (V 1.4.1.2) zum Download bereitgestellt wird.
Diese Version enthält die Log4j-Bibliothek in der Version 2.16.0 und behebt somit die unter CVE-2021-44228 bekannt gewordenen Schwachstellen.
Bitte setzen Sie für Neu-Installationen nur noch diese Version ein und aktualisieren Sie bereits installierte Versionen des kim+ Clientmoduls gemäß Anwenderhandbuch, Kap. 4.3.8 (-> steht auch im Self-Service Portal zur Verfügung). 
Zur Aktualisierung muss lediglich der Installer ausgeführt werden, vorhandene Konfigurationseinstellungen bleiben erhalten.
Sollten Sie das kim+ Clientmodul unter Linux betreiben, ist zusätzlich ein Neustart des Betriebssystems erforderlich.“

UPDATE 16.12.21

Nachdem das Update jetzt verfügbar ist (s.o.) und wir es getestet haben, stellen wir Ihnen hier eine kurze Installationsanleitung zur Verfügung:

Zu den KIM-Modulen anderer zugelassener KIM-Anbieter liegen uns aktuell keine Informationen vor. Bitte wenden Sie sich an den jeweiligen Hersteller.

Empfehlung zollsoft: Bis zur Bereitsstellung und dem Einspielen der aktualisierten Version stoppen Sie bitte den KIM Client. Nachdem Update starten Sie bitte den KIM Client wieder.

Das neue kim+ Client Modul wird gerade von uns getestet. Im Anschluss stellen wir Ihnen hier eine Installationsanleitung zur Verfügung.

Zu den KIM-Modulen anderer zugelassener KIM-Anbieter liegen uns aktuell keine Informationen vor. Bitte wenden Sie sich an den jeweiligen Hersteller.

KBV Prüfmodul Kritisch

Die KBV hat uns wie folgt informiert:

„Hierzu [der betroffenen Software] zählen unter anderem auch die KBV-Prüfmodule, die wir Herstellern von Praxisverwaltungssystemen, … zur Verfügung stellen. Aktuell werden in den betroffenen Programmen die Log4J Bibliotheken ausgetauscht. Nach erfolgreicher Qualitätssicherung stellen wir Ihnen kurzfristig die geänderten Softwareprodukte zur Verfügung und bitte Sie um Integration sowie Rollout.“

Update

„… wurden heute die KBV-Prüfmodule, das Kryptomodul sowie der Prüfassistent für das vierte Quartal 2021 aktualisiert bereitgestellt. „

UPDATE 16.12.21

Ab den Versionen v1.105s420 (neue Server-Tools) und v1.106 ist das aktualisierte KBV-Prüfmodul enthalten.

Wir werden das geänderte KBV-Prüfmodul mit einem der nächsten Updates an Sie verteilen, sobald es von uns getestet wurde.

Fiskal Cloud Connector (FCC)

Es gab eine theoretisch Möglichkeit, dass dieser Service bzw. diese Schnittstelle betroffen war. Am 13.12.21 wurde zur Erhöhung der Sicherheit alle Services der Fiskal Cloud zusätzlich dahingehend umkonfiguriert, dass der Exploit nicht mehr möglich ist.
Auf beiden Seiten der Schnittstelle wurden Anpassungen vorgenommen, um den Schutz nochmals zu erhöhen.
Auf tomedo-Seite erfolgt dies mit der Version 1.105.

Stoppen des Fiskal Cloud Connectors (FCC)

tomedo®

Wir analysieren weiterhin unser PVS tomedo. Aktuell haben wir keine Erkenntnis, dass im tomedo Server und Client die Schwachstelle genutzt werden kann.

Bitte beachten Sie aber unsere nächsten Updates und installieren Sie sie zeitnah.

Weitere zollsoft Produkte

Unsere weiteren Anwendungen sind ebenfalls nicht betroffen:

Legende für die folgenden Tabellen

Nach unseren Informationen ist die Software nicht von der Schwachstelle betroffen.

Nach unseren Informationen ist die Software von der Schwachstelle betroffen. Informieren Sie sich beim Hersteller über den genauen Sachverhalt.

Uns liegen aktuell keine Informationen vor. Bitte wenden Sie sich an den jeweiligen Hersteller.

Konnektoren

secunet
RISE

Zum RISE Konnektor liegt uns folgende Information der KBV vor:

„… der RISE-Konnektor ist von der Schwachstelle Log4shell ebenfalls betroffen. 
RISE hat für ihren Konnektor ein Update, das zur Beseitigung der log4j-Schwachstelle erforderlich ist, auf dem Konfigurations- und Software-Repository (KSR) bereitgestellt, welches i.d.R. automatisiert eingespielt wird. Das Update ist zur Beseitigung der log4j-Schwachstelle erforderlich. Eine Gefährdung für den Konnektor über die Außenschnittstelle zum Internet besteht laut Aussage der gematik nicht.“

KoCoBox

Labor-OrderEntry und Laborabruf Software

Managed IT, Cloud, Hosting, and Security Solutions – CloudScale365
CGM-Channel (CompuGroup)
ixmid (Synlab, amedes)
AB+M
MelosMDN
DGN LOEM
Labgate (Vireq)
MedNet (in der Schweiz)

Virtualisierungssoftware

Die folgende Virtualisierungssoftware ist nach unserem bisherigen Wissen nicht betroffen:

Parallels
VMWare
VirtualBox
Docker

Telefonanlagen

Fax-Programme

LifeTime

PamFax

simple-fax

eFax

Aufklärungsbögen

Thieme (Diomed)
Perimed
Idana
Synmedico
Ikonion (Augenärzte)

Informationen über weitere Fremdsoftware

Unter https://github.com/NCSC-NL/log4shell/tree/main/software finden Sie eine fortlaufend aktualisierte Liste über den Status weiterer Software.

Hinweis alte und neue Server-Tools

Dieser Hinweis dient nur dazu, zu erkennen, ob man die neuen oder alten Server-Tools hat und wo dort die Versionen zu sehen sind. Die maßgeblichen Versionen stehen oben im Text.

alte Server-Tools:

neue Server-Tools:

Weiteres aus dieser Kategorie

E-Rezepte ausstellen und versenden

Hintergründe zum E-Rezept Das Thema E-Rezept ist seit Oktober 2020 immer wieder an der Tagesordnung. Das Bundesgesundheitsministerium hat mit dem Patientendaten-Schutz-Gesetz (PDSG) die Grundlagen für die Einführung des E-Rezeptes geschaffen. Das Roll-out des...

Wie wähle ich eine Praxisverwaltungssoftware?

Sie wollen Ihren Anbieter wechseln oder eine neue Arztpraxis eröffnen und stehen vor der Auswahl einer passenden Praxisverwaltungssoftware (PVS)? In diesem Artikel werden wir Ihnen einige Hinweise liefern, die Sie bei der Auswahl der besten Praxissoftware...

Das neue Cockpit 3.0 in tomedo®

Nach einigen Hintergrundarbeiten steht nun das überarbeitete Cockpit 3 zur Verfügung. Dieses bietet Ihnen ein intuitiveres Nutzererlebnis als bisher und basiert auf modernster Webtechnologie, auf deren Grundlage das Cockpit in den nächsten Monaten weiter ausgebaut werden wird.

Die Telematikinfrastruktur

Hintergründe, Funktionen, Nutzen und Praxis-Beispiele für Ihren Arztalltag.
Die Telematikinfrastruktur (TI) dient dazu, die Akteure im Gesundheitswesen, also Ärzt:innen, Therapeut:innen, Krankenhäuser, Apotheken usw., miteinander zu vernetzen, die Digitalisierung des deutschen Gesundheitswesens voranzutreiben sowie eine sichere Kommunikation bzw. einen abgesicherten Informationsaustausch zwischen den einzelnen Sektoren der Gesundheitsbranche zu gewährleisten.

tomedo® eAU Ready-Check

Zum 01.01.2022 wird die elektronische Arbeitsunfähigkeitsbescheinigung (eAU) für gesetzlich Versicherte in den Arztpraxen eingeführt. Wir unterstützen Sie deshalb mit einem Check-Up für die Einführung. Damit Sie die eAU zum Jahreswechsel nutzen können, empfehlen wir...

Die elektronische Patientenakte (ePA) in tomedo®

Voraussetzungen und Aktivierung Pünktlich zum vom Gesetzgeber vorgegebenen Einführungstermin (01.07.2021) der elektronischen Patientenakte (ePA) stehen Ihnen alle dafür notwendigen Funktionalitäten in tomedo® zur Verfügung. WICHTIGER HINWEIS: Sie müssen noch VOR der...

Hinweise zum EU-Impfzertifikat über die Webanwendung

Ausstellen der Zertifikate Bis die technischen Voraussetzungen für die Anbindung von Praxisverwaltungssystemen, wie tomedo®, an die Infrastruktur für die Erstellung von EU-Impfzertifikaten feststehen, können Sie die Zertifikate über eine Webanwendung ausstellen, die...

Wie schreibe ich einen optimalen Arztbrief?

Checklisten, Muster, Vorlagen: So behalten Sie den ÜberblickDer Arztbrief, welcher nach der Untersuchung beim Facharzt bzw. der Fachärztin oder nach einer stationären Behandlung im Krankenhaus ausgestellt wird und mit welchem Ärz:innen behandlungsrelevante...

Workflows bei Covid-Impfungen in tomedo® – Impfdokumentation

Zur Impfdokumentation direkt in tomedo® gibt es zwei Wege: Mit der Impf-Doku in tomedo® Mit einem Custom-Karteieintrag   Beide Workflows enden mit einem Kartei-Eintrag in der medizinischen Dokumentation in tomedo®. Falls Sie Checkbox-Marker nutzen, um den...

Sperrtage aus Arzeko übernehmen

Eingetragene Abwesenheiten, wie Urlaube oder andere zeitlich begrenzte bzw. ganztägige Abwesenheiten, die Sie und Ihre Mitarbeiter*innen im Zeiterfassungstool Arzeko eintragen, können Sie ab sofort auch im tomedo®-Kalender sehen.

Medikamentenplan direkt in der Kartei anzeigen

In tomedo® ist es möglich, den Medikamentenplan Ihrer Patient*innen direkt in der jeweiligen Kartei anzusehen, sodass Sie alle Informationen zu den bereits verordneten Medikamenten auf einen Blick erhalten.