.. ich präzisiere meine Aussage.. das Update kommt am 23.12.2022!Schorsch hat geschrieben:CGM Kim und CGM SmartUpdate (Standalone) sind ja auch betroffen.. prinzipiell würde ich auf Aussagen von CGM nicht all zu viel geben.
ich habe mit einer Batch Datei einfach alle potenziellen "log4j*2.XX*jar" gegen die 2.16 ausgetauscht (alte Dateibennung wie vorher). Zumindest läuft Turbomed scheinbar auch so und man kann besser Nachts schlafen.. das "Update" dauert doch wieder bis 23.12... und dann sind wieder hundert neue Fehler eingebaut.
APC Business Edition ist übrigens auch betroffen, das hat vielleicht der ein oder andere auch drauf (USV).
log4j
Moderator: Forum Moderatoren
Forumsregeln
TM-Startforum - "offen für alle Themen".
Beiträge, die in einen anderen Bereich passen, werden bei Bedarf verschoben.
TM-Startforum - "offen für alle Themen".
Beiträge, die in einen anderen Bereich passen, werden bei Bedarf verschoben.
-
- Beiträge: 87
- Registriert: Sonntag 5. Januar 2020, 21:50
- 4
Re: log4j
-
- Beiträge: 403
- Registriert: Montag 6. Februar 2012, 21:54
- 12
- Bedankt: 4 times
Re: log4j
Info der KV Bayern: Abrechnung kann wie bisher übersandt werden. Module der KVB seien von log4j nicht betroffen. Der Dienst Telemed ist heute nicht verfügbar. wir versenden unsere D-Berichte per Post!
Schöne Weihnachten!
Schöne Weihnachten!
-
- Beiträge: 484
- Registriert: Sonntag 14. August 2011, 16:28
- 12
- PVS: Allerlei
- Konnektortyp: "alle"
- Hat sich bedankt: 32 times
- Bedankt: 11 times
Re: log4j
Klingt unglaubwürdig.
Das KBV-Prüfmodul ist lt. CGM anfällig.
Und die neue Version kommt erst mit dem - sich verspätenden - Update.
Aber entspannt: Das Modul läuft lokal über die .CON und holt sich nichts aus dem Netz nach.
Und die wird sicherlich nicht kompromittiert sein, wenn PC und das ausgebende TurboMed sauber sind.
Das KBV-Prüfmodul ist lt. CGM anfällig.
Und die neue Version kommt erst mit dem - sich verspätenden - Update.
Aber entspannt: Das Modul läuft lokal über die .CON und holt sich nichts aus dem Netz nach.
Und die wird sicherlich nicht kompromittiert sein, wenn PC und das ausgebende TurboMed sauber sind.
--
Beste Grüße
Forti
Beste Grüße
Forti
-
- Beiträge: 118
- Registriert: Samstag 28. Juli 2007, 20:43
- 16
- Wohnort: Cölbe
Re: log4j - KV-Prüfmodul
TurboMed schreibt ja am 17.12.21 folgendes:
„Von einer Abrechnung von Q4/2021 mit bereits ausgelieferten Versionen von CGM TURBOMED raten wir ab, da uns keine Informationen vorliegen, inwieweit die log4j-Schwachstelle bereits ausgenutzt und schadhafter Code in betroffene Software-Module eingeschleust wurde!“
Wir haben bereits vorletzte Woche Probeabrechnungen laufen lassen. Da wusste man noch nichts von der Sicherheitslücke. Könnte dadurch etwas passiert sein? Und wie bekäme man sowas heraus??
Bin besorgt …
„Von einer Abrechnung von Q4/2021 mit bereits ausgelieferten Versionen von CGM TURBOMED raten wir ab, da uns keine Informationen vorliegen, inwieweit die log4j-Schwachstelle bereits ausgenutzt und schadhafter Code in betroffene Software-Module eingeschleust wurde!“
Wir haben bereits vorletzte Woche Probeabrechnungen laufen lassen. Da wusste man noch nichts von der Sicherheitslücke. Könnte dadurch etwas passiert sein? Und wie bekäme man sowas heraus??
Bin besorgt …
-
- Beiträge: 118
- Registriert: Samstag 28. Juli 2007, 20:43
- 16
- Wohnort: Cölbe
Re: log4j
Wir finden auf dem Server viele Java-Altlasten, die z.T. out-of-life sind. Erschreckend, dass TurboMed-Updates hier keine Routine zur Bereinigung anbieten. Hier müsste doch mal aufgeräumt werden, oder?
Sie haben keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
-
- Beiträge: 403
- Registriert: Montag 6. Februar 2012, 21:54
- 12
- Bedankt: 4 times
Re: log4j
Ang. sind von der Lücke nur die Java-Versionen 2.0 bis 2.14.1 betroffen. Wo finde ich die Java-Version?? Ggf. sind die von TM im Rahmen der updates gelieferten Versionen ja älter?? Meinungen??
-
- Beiträge: 576
- Registriert: Sonntag 26. Oktober 2008, 09:15
- 15
- Hat sich bedankt: 6 times
- Bedankt: 22 times
Re: log4j
Wobei man anmerken muss, dass gerade bei Java die älteren Versionen reich gespickt mit Schwachstellen sind.Heilberger hat geschrieben:Ang. sind von der Lücke nur die Java-Versionen 2.0 bis 2.14.1 betroffen. Wo finde ich die Java-Version?? Ggf. sind die von TM im Rahmen der updates gelieferten Versionen ja älter?? Meinungen??
Grüße
lcer
-
- Beiträge: 131
- Registriert: Sonntag 28. August 2016, 14:00
- 7
-
- Beiträge: 98
- Registriert: Montag 15. Oktober 2018, 12:56
- 5
- Hat sich bedankt: 4 times
- Bedankt: 12 times
Re: log4j
Bedeutet das, erst das Patch installieren und dann später das Update mit den alten, unsicheren log4j Modulen ?h-o hat geschrieben:Kommando zurück: nur der Patch enthält die korrigierten log4j-Module, nicht das v22.1-Update.
Das wäre ja völlig sinnfrei, würde mich aber nicht wundern.
Ich dachte das neue Update für das Q1 /22 reicht für alles aus !
Vielen Dank für die Rückmeldung und allen ein frohes Weihnachtsfest!
Die Hoffnung stirbt zuletzt, aber sie stirbt !
-
- Beiträge: 131
- Registriert: Sonntag 28. August 2016, 14:00
- 7
Re: log4j
Dachte ich auch erst, aber es soll genau umgekehrt gemacht werden! Steht zumindest in der Info, die als Fax (!) verteilt wurde.DocL hat geschrieben:Bedeutet das, erst das Patch installieren und dann später das Update mit den alten, unsicheren log4j Modulen ?
Und zwar wie folgt:
Der Patch wurde erst später erstellt und konnte nicht mehr in das Voll-Update eingebunden werden.Sollten Sie also mit diesem Update eine Kassenabrechnung oder Exporte für eHKS und eDMP zum Quar-tal 4/2021 vornehmen wollen, installieren Sie unbedingt nach der Installation des Vollupdates auch den zuvor erwähnten CGM TURBOMED-Patch, um gegen log4j-Angriffe geschützt zu sein. Bitte beachten Sie, dass der Patch in diesem Falle an jedem Arbeitsplatz installiert werden muss, der für diese Zwecke genutzt werden soll.
-
- Beiträge: 425
- Registriert: Samstag 13. August 2011, 09:25
- 12
- Hat sich bedankt: 12 times
- Bedankt: 14 times
Re: log4j
Hallo,
Vielen Dank für die Denkanstöße zum weiteren Handeln. Da hat man uns TM-Usern mit dem Java Problem eine tolle Weihnachtsüberraschung gewichtelt. Mit Java und Turbomed konnte man auch in der Vergangenheit auch schon bereits vor Probleme gestellt werden. Das mahnt zur Vorsicht bei der Dimension ,welche die ganze Sache hat.
Wir werden die Feiertage erst mal in Ruhe die Entwicklung abwarten . Bin schon am überlegen, evtl. mal eine Zeit die Praxis vom Netz zu nehmen und offline zu gehen ,bis Klarheit herrscht. (Wenn es nicht schon zu spät ist) So wie ich es verstanden habe, ist die perfide Vorgehensweise ja so angelegt, daß die Ransom -Trojaner erst mal im "Ruhemodus ,quasi als Schläfer auf dem Rechner abwarten" und dann erst später unerwartet aktiviert werden ?
Wenn schon die CGM für solche Attacken angeifbar war, wie soll man sich da als kleiner User schützen , als mit unkonventionellen radikalen Mitteln ? Noch wären wir organisatorisch und technisch von der Ausstattung her als kleine Praxis in der Lage den Praxis-Grundbetrieb eine gewisse Zeit autark offline abzuhalten ?
Allen ein schönes Weihnachtswochende und ein Frohes Fest. Grüße Randolf
Vielen Dank für die Denkanstöße zum weiteren Handeln. Da hat man uns TM-Usern mit dem Java Problem eine tolle Weihnachtsüberraschung gewichtelt. Mit Java und Turbomed konnte man auch in der Vergangenheit auch schon bereits vor Probleme gestellt werden. Das mahnt zur Vorsicht bei der Dimension ,welche die ganze Sache hat.
Wir werden die Feiertage erst mal in Ruhe die Entwicklung abwarten . Bin schon am überlegen, evtl. mal eine Zeit die Praxis vom Netz zu nehmen und offline zu gehen ,bis Klarheit herrscht. (Wenn es nicht schon zu spät ist) So wie ich es verstanden habe, ist die perfide Vorgehensweise ja so angelegt, daß die Ransom -Trojaner erst mal im "Ruhemodus ,quasi als Schläfer auf dem Rechner abwarten" und dann erst später unerwartet aktiviert werden ?
Wenn schon die CGM für solche Attacken angeifbar war, wie soll man sich da als kleiner User schützen , als mit unkonventionellen radikalen Mitteln ? Noch wären wir organisatorisch und technisch von der Ausstattung her als kleine Praxis in der Lage den Praxis-Grundbetrieb eine gewisse Zeit autark offline abzuhalten ?
Allen ein schönes Weihnachtswochende und ein Frohes Fest. Grüße Randolf
-
- Beiträge: 576
- Registriert: Sonntag 26. Oktober 2008, 09:15
- 15
- Hat sich bedankt: 6 times
- Bedankt: 22 times
Re: log4j
Hallo,
ich werde diesmal nicht über Weihnachten das Update installieren. Lediglich das Patch mit den KV Prüfmodulen. Ich will erst mal sehen, ob bei anderen Betatestern Ransomware auftaucht. Die Informationspolitik von CGM ist was mich angeht, nicht ausreichend vertrauensbildend.
Grüße
lcer
ich werde diesmal nicht über Weihnachten das Update installieren. Lediglich das Patch mit den KV Prüfmodulen. Ich will erst mal sehen, ob bei anderen Betatestern Ransomware auftaucht. Die Informationspolitik von CGM ist was mich angeht, nicht ausreichend vertrauensbildend.
Grüße
lcer
-
- Beiträge: 403
- Registriert: Montag 6. Februar 2012, 21:54
- 12
- Bedankt: 4 times
-
- Beiträge: 463
- Registriert: Dienstag 9. Februar 2016, 15:17
- 8
Re: log4j
Es ist Zeit Ihre Windows Systeme gegen die Log4J Schwäche zu schützen !
https://support.microsoft.com/en-us/top ... ed901c769c
HofeBY
https://support.microsoft.com/en-us/top ... ed901c769c
HofeBY
-
- Beiträge: 403
- Registriert: Montag 6. Februar 2012, 21:54
- 12
- Bedankt: 4 times
Re: log4j
Danke für den Hinweis! Mein Englisch ist zu schlecht. Was ist konkret zu tun?? Gruß und vielen Dank!
-
- Beiträge: 484
- Registriert: Sonntag 14. August 2011, 16:28
- 12
- PVS: Allerlei
- Konnektortyp: "alle"
- Hat sich bedankt: 32 times
- Bedankt: 11 times
Re: log4j
Sonderpatch für das PRAXISARCHIV installieren!
Wegen der Änderungen seitens Microsoft besteht Risiko der Nichtfunktion.
Patch ist für 4.1x und 5.x
Ist ein Anpassungsupdate. Läuft in Sekunden, nötig für jeden Arbeitsplatz.
https://www.cgm.com/deu_de/produkte/pra ... loads.html
https://cgm-arztsysteme.com/updates/Pra ... g_2021.zip
Bei manchen PVS ist es im aktuell verfügbaren Update bereits enthalten (bei CGM Z1.PRO gesehen, bei ALBIS z.B. nicht...).
Kann also sein, dass das mit TM 22.1 schon erledigt ist.
Der Installer teilt das dann aber mit
Wegen der Änderungen seitens Microsoft besteht Risiko der Nichtfunktion.
Patch ist für 4.1x und 5.x
Ist ein Anpassungsupdate. Läuft in Sekunden, nötig für jeden Arbeitsplatz.
https://www.cgm.com/deu_de/produkte/pra ... loads.html
https://cgm-arztsysteme.com/updates/Pra ... g_2021.zip
Bei manchen PVS ist es im aktuell verfügbaren Update bereits enthalten (bei CGM Z1.PRO gesehen, bei ALBIS z.B. nicht...).
Kann also sein, dass das mit TM 22.1 schon erledigt ist.
Der Installer teilt das dann aber mit
--
Beste Grüße
Forti
Beste Grüße
Forti
-
- Beiträge: 463
- Registriert: Dienstag 9. Februar 2016, 15:17
- 8
Re: log4j
Ich mache das bei Uns so, das ich vor dem Updaten ein AcronisImage von der Cientplatte erzeuge.(Rückfallstartegie)Heilberger hat geschrieben:Danke für den Hinweis! Mein Englisch ist zu schlecht. Was ist konkret zu tun?? Gruß und vielen Dank!
Dann deaktiviere ich das bei Uns verwendete "StopUpdates10", dann date ich von Windows V1909 auf die aktuelle Version V21H2 up und installiere alle
neuen Sicherheitspatches.
Im Anschluss wird "StopUpdates10" wieder aktiviert und ich hoffe dann die nächsten 2-3 Jahre wie vorher ohne Windowsupdates auszukommen.
Und nach dem Updaten wird ein AcronisImage von der Cientplatte erzeuge. (Crashfallrückfallversicherung)
Quellen:
https://de.wikipedia.org/wiki/Microsoft_Windows_10
https://www.greatis.com/stopupdates10/
-
- Beiträge: 432
- Registriert: Donnerstag 28. Juni 2012, 11:43
- 11
Re: log4j
Nach Installation des Patches ändert sich die Versionsnummer vom Praxisarchiv nicht. Ist das so? Das gibt mir jetzt kein super gutes Gefühl. Installation ist erst am Server, dann an den Clients störungsfrei durchgelaufen.
Kann ich das trotzdem irgendwie checken?
Kann ich das trotzdem irgendwie checken?
Wer ist online?
Mitglieder in diesem Forum: Bing [Bot], Google [Bot], u.dittmann und 136 Gäste