Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 43, views: 21.386 •

De onveilige situatie waarbij huisartsen hun Java-versie niet konden bijwerken, omdat ze dan niet meer bij hun patiŽntendossiers konden komen, is opgelost. De leverancier heeft maandag een 'versnelde update van het systeem doorgevoerd'.

Maandag berichtte Tweakers dat huisartsen gedwongen werden met een onveilige Java-versie te werken, omdat de recentste Java-versie niet compatibel was met het loginsysteem van Promedico, software die wordt gebruikt om patiëntdossiers bij te houden. De verouderde versie bevatte 42 beveiligingsproblemen, waarvan er 39 op afstand te misbruiken waren. Enkele waren geclassificeerd als 'kritiek' en Oracle adviseerde gebruikers om zo snel mogelijk te updaten.

Na de berichtgeving heeft Promedico versneld een software-update uitgerold, laat het bedrijf in een schriftelijke verklaring weten. Daardoor kunnen gebruikers nu updaten naar de nieuwste Java-versie, zonder dat er loginproblemen optreden. "De betreffende update van het Huisartsen Informatie Systeem stond al gepland, maar hebben wij nu versneld doorgevoerd", aldus het bedrijf. Oorspronkelijk stond de software-update gepland voor aanstaande donderdag.

Het was al sinds halverwege april bekend dat de Java-versie onveilig was: toen werd een update uitgerold die de beveiligingsproblemen oploste. Promedico zegt te willen voorkomen dat een dergelijke onveilige situatie zich opnieuw voordoet. "Wij realiseren ons terdege dat dergelijke verbeteringen die effecten kunnen hebben op de belangen van patiënten sneller en directer moeten worden geïmplementeerd", zo luidt de verklaring.

Honderden huisartsen waren getroffen door het probleem. Volgens Promedico zijn er geen aanwijzingen dat de onveilige Java-versie er daadwerkelijk toe heeft geleid dat bijvoorbeeld patiëntendossiers op straat zijn komen te liggen. Desondanks wordt de huisartsen aangeraden om de Java-update in kwestie zo snel mogelijk te installeren.

Promedico

Reacties (43)

Aan de ene kant slecht dat het ze zo lang duurder, aan de andere kant wel een mooi voorbeeld van het belang van de media in de samenleving. Had tweakers en andere vergelijkbare bedrijven er niet over bericht dan had het op z'n minst langer geduurd, mogelijk zelfs nog weken. Dus sowieso fijn om dit artikel te lezen en niet alleen het artikel van maandag :D :D
Ik vind het eerder verontrustend dat er media-aandacht voor nodig is voordat een dergelijk bedrijf (snel) stappen onderneemt tegen zo een grove fout van zichzelf. Deze update had met spoed gemaakt en uitgerold moeten worden.
Toch wel weer een mooie smoes door voorschrijdend inzicht.

Als we terugkijken. Hadden ze de update zeker niet in de planning. Dan hadden ze wel meegedeeld dat dit opgelost zou worden in de volgende update maar dat ze deze nog aan het testen waren.

Door achteraf te zeggen..."Dit zou toch donderdag al met de update meekomen...maar we doen het nu 2 dagen eerder", is het wel heel erg duidelijk een smoes en PR aktie om een goede naam te krijgen.

Gelukkig is er nog tweakers en publieke media. Aan de schandpaal nagelen helpt soms om dit soort problemen toch op te lossen.
Druppel op de gloeiende plaat dit. Hoeveel procent van alle bedrijven zou nu Java 7u21 draaien? 2-3%? De meesten zitten nog op 1.5 of 1.6 vanwege compatibiliteit.
Vraag me wel af wie nu waarvoor verantwoordelijk is, de huisarts die niet meer in logt vanwege het risico dan wel het bedrijf dat niet tijdig de software weet te upgraden?
Hier hetzelfde verhaal versie 6u24. Mooie is dat ook een aantal overheids tools het niet doen op nieuwere versies, echter zijn er andere tools van de overheid die het enkel doen op nieuwere versies. Wat moet je dan....

Om het berichtje toch positief af te sluiten, er worden de laatste tijd wel geregeld tools geupdate naar HTML5 / PHP omgevingen, wat tot nu toe in ieder geval een stuk beter werkt.

[Reactie gewijzigd door MrvdB op 4 juni 2013 15:10]

Je kunt twee browsers naast elkaar draaien, ieder met z'n eigen plugin. Desnoods twee firefox-versies, een normale, en een thumbstick-versie. Probleem is alleen dat het hier om de overheid gaat, en dat betekent dat IT dit niet zal toelaten. Andere oplossing is Citrix of een VM of desnoods een tweede computer voor die ene tool die je eens in de week gebruikt. Genoeg oplossingen te vinden, ook al zijn ze niet mooi.
Yep wij hebben Oracle forms die 6u25 vereist. Die bieden we gewoon met App-V aan en in de omgeving zelf is gewoon 7u21 geinstalleerd.
Je kunt twee browsers naast elkaar draaien, ieder met z'n eigen plugin. Desnoods twee firefox-versies, een normale, en een thumbstick-versie. Probleem is alleen dat het hier om de overheid gaat, en dat betekent dat IT dit niet zal toelaten. Andere oplossing is Citrix of een VM of desnoods een tweede computer voor die ene tool die je eens in de week gebruikt. Genoeg oplossingen te vinden, ook al zijn ze niet mooi.
Er zijn inderdaad legio oplossingen, echter ben ik zelf geen systeembeheerder en gezien onze starre ICT afdeling is het nu dus zo dat wij met een verouderde Java versie werken. Dit omdat de op het oudere Java draaiende programma belangrijker is dan het programma dat op de laatste versie moet draaien.

Zelf erg geÔnteresseerd in ICT maar nooit men beroep van gemaakt, echter is een niet updatende en niet meewerkende ICT afdeling dan wel echt een frustratie.....
Klinkt als het verleggen van een probleem.
Had tweakers en andere vergelijkbare bedrijven er niet over bericht dan had het op z'n minst langer geduurd, mogelijk zelfs nog weken.
Grappig, in de tekst van het artikel staat een quote: Oorspronkelijk stond de software-update gepland voor aanstaande donderdag.
Dat is dus overmorgen.
Die neem ik met een korreltje zout, klinkt als schadebeperking. Waarom hebben ze er anderhalve maand mee gewacht? Ze wisten er al sinds 18 april van blijkt uit de screenshot.
Ach, heisa om niets. Ik werk hier in mijn ziekenhuis nog op een Java 6 installatie met verouderde flash, een windows die al in jaren niet geŁpdatet is... Er zijn ergere dingen!

Momenten waarop je gelukkig bent dat je als tweaker van een bootable USB stick met Linux boot... :) Ik draag tenminste niet bij aan de virus-load ^^
Leg uit, in een ziekenhuis zijn er ergere dingen dan de privacy van patienten? Ja hun gezondheid uiteraard, maar daar houdt het toch wel op hoor. Hoop voor je dat dat ze nooit via jou aan prive gegevens kunnen komen, anders heb je wel een probleem.
Tja, in een grote omgeving roll je nu niet eenmaal snel patches uit.
Want als daarna je applicatie niet meer werkt? En complexe applicaties update je niet even 123.

En op zich is een slecht gepatched systeem niet erg. Zolang je maar zorgt dat communicatie gelimiteerd is.
Tja, in een grote omgeving roll je nu niet eenmaal snel patches uit.
Want als daarna je applicatie niet meer werkt? En complexe applicaties update je niet even 123.

En op zich is een slecht gepatched systeem niet erg. Zolang je maar zorgt dat communicatie gelimiteerd is.
Nou, ik heb dus net even de "Compatibility Page" bekeken: http://www.oracle.com/tec...compatibility-417013.html

Maar op zich zijn er geen grote wijzigingen. Tenzij er gebruik wordt gemaakt van een paar specifieke classes of gedrag dat is aangepast, moet de code eigenlijk bijna gelijk werken. Dan zou het dus een kwestie moeten zijn van opnieuw compilen, en die dingen oplossen. Als dat niet makkelijk kan, dan worden er een hoop foute dingen gedaan in de code.

Maar ik denk dat in dit geval met die huisartsen software, er geen grote problemen waren. Maar dat het meer een gevalletje bureaucratie was: "Productie draait prima, dus we gaan pas upgraden bij de volgende major release". Ik denk dat ze gister geschrokken zijn van alle media aandacht, en toch maar besloten hebben om even een tussentijdse release te builden.
Ach, heisa om niets. Ik werk hier in mijn ziekenhuis nog op een Java 6 installatie met verouderde flash, een windows die al in jaren niet geŁpdatet is... Er zijn ergere dingen!
Heisa om niets zou ik het dan niet noemen, maar ik zou er voorstander van zijn als kritische media dit soort 'misstanden' ook eens breed zouden uitmeten. Alleen op zo'n manier krijg je die logge verouderde omgevingen in beweging.
[...]

Heisa om niets zou ik het dan niet noemen, maar ik zou er voorstander van zijn als kritische media dit soort 'misstanden' ook eens breed zouden uitmeten. Alleen op zo'n manier krijg je die logge verouderde omgevingen in beweging.
Juist niet. De media kan dat trucje maar een paar keer doen. Daarna is het alledaags nieuws en wordt het niet meer opgepikt omdat mensen het gewenst zijn.

Overheden moeten hier achteraan omdat het gaat om maatschappelijk belangen. Verantwoordelijken (op de persoon en naam, niet op titel) dienen persoonlijk verantwoording af te leggen en de gevolgen te dragen voor de (niet) gemaakte keuzes.

[Reactie gewijzigd door The Zep Man op 4 juni 2013 14:12]

[...]
Juist niet. De media kan dat trucje maar een paar keer doen. Daarna is het alledaags nieuws en wordt het niet meer opgepikt omdat mensen het gewenst zijn.
Daar heb je wel een goed punt.
Overheden moeten hier achteraan omdat het gaat om maatschappelijk belangen. Verantwoordelijken (op de persoon en naam, niet op titel) dienen persoonlijk verantwoording af te leggen en de gevolgen te dragen voor de (niet) gemaakte keuzes.
Overheden gaan er echter pas achteraan als ze zich er 1) van bewust zijn en 2) er voldoende publiek vindt dat dat nodig is. Voor beide zaken hebben de media hun nut. Op die manier bedoelde ik het ook vooral.
[...]
Verantwoordelijken (op de persoon en naam, niet op titel) dienen persoonlijk verantwoording af te leggen en de gevolgen te dragen voor de (niet) gemaakte keuzes.
Yep, een potje zwarte pieten is uiteraard zeer gewenst als er een probleem is.

Dit zijn geen simpele aanwijsspelletjes van : Jij hebt het gedaan.
Dit is meer in de richting van :
- persoon 1 zegt dat het moet gebeuren
- persoon 2 zegt dat het niet moet gebeuren vanwege pakket x/y/z
- persoon 2 gaat persoon 1 aanwijzen omdat die de gevolgen niet duidelijk in kaart heeft gebracht en geen alternatieven geboden en persoon 1 gaat zeggen dat hij het gezegd heeft.
Het is eigenlijk toch weer te gek voor worden dat er het eerst in de media moet komen voordat er werkelijk actie wordt ondernomen. Promedico had dit toch veel eerder kunnen doen? Dan was er ook geen ophef geweest over de onveilige java versie.
Zoals hier al te lezen is was de eerdere aanpak om deze fix gewoon mee te nemen in de volgende release (donderdag), maar door de media-aandacht zijn ze zich er extra bewust van geworden dat deze fix 1,5 maand geleden al een uitzonderingspositie had moeten krijgen. Dat konden ze niet beter meer oplossen dan op deze manier, dus dat vind ik dan nog best netjes.

Ik hoop dat ze hiermee hun lesje geleerd hebben en bij volgende van dit soort situaties meteen zelf de conclusie trekken dat een snelle fix aangewezen is. Die indruk wekken ze in ieder geval wel.
Direct de huisartsen dwingen te updaten omdat ze anders niet meer kunnen inloggen en dan zitten ze weer goed, ik denk dat een hoop zich niet gedwongen voelen om nu te updaten.
Wel grappig dat dit probleem zich al weken voor doet, gister pas op tweakers in het nieuws is en vandaag ineens is opgelost!
Ik verwacht dat ze dit al lang opgelost hadden, maar gewoonweg nog niet ge released. Logisch , release doe je /probeer je als het goed is in een vaste interval te doen.
Niet als het dergelijke ernstige beveiligingsproblemen betreft waarvan de details (metasploit bijvoorbeeld) op het internet staan, dan is anderhalve maand echt veel te lang en dan breng je tussendoor een nieuwe versie uit.
Kunnen ze meteen de andere problemen oplossen?
- Werkt nog niet op IE 10 (aangegeven dat dit 1 maart 2013 zou werken)
- Zoeken naar brieven is een ramp (per dag i.p.v. periode)
- Te vaak offline voor updates (in de avond uren, als de meeste artsen hun administratie bijwerken, in de ochtend voor 8:00 zou beter zijn).
- Onlogische afblokken van de agenda (Je krijgt eerst een scherm waar je een patiŽnt moet kiezen (wat je niet wil), maar onderaan de knop volgende (zonder te selecteren) gaat door naar andere opties.
- etc.

Ja deze problemen zijn al lang geleden aangekaart, maar schijnbaar helpt media aandacht, dus proberen we het hier even ;-)

[Reactie gewijzigd door Marilanos op 4 juni 2013 14:15]

Then again, ze hebben wel NHGDoc integratie..!
open webbased login (itt vpn): https://www.promedico-asp.nl/his/index.jsp
oude joomla 1.5 supportsite: http://www.his-support.nl/his/

Dit is 3 seconde googlewerk, als ik dit verhaal hoor en dit zie krijg ik een gevoel dat er nog heel wat kwetsebaarheden gevonden kunnen worden bij dit bedrijf/systeem.

Zoals zo vaak. Als burger wordt je verplicht je gegevens aan allerhande bedrijven (binnen en buitenland) weg te geven, die er vervolgens maar mee mogen doen wat ze willen. Het wordt pas een probleem als een lulzsec-achtig groepje het op pastebin gooit en er een mediarel ontstaat. De USA met patriotact en chinese of syrische hackers hoor je niets van; daar wordt dus ook niets tegen gedaan.

Als je iets vind kun je melden wat je wilt, maar oplossen ho maar. Ja als het spannend genoeg is en je kunt een rel op tweakers veroorzaken. Maar rechten heb je als simpele burger niet.
Het wordt dus tijd voor echte eigendomsrechten op je eigen data, en een mogelijkheid om hoge claims in te kunnen doen als die data te grabbel wordt gegooit door derden.
Open webbased login, zoals erhm, bij iedere bank? DigiD?
Een volledig losstaande backoffice / support website?

Lekker boeien
Jammer dat mijn post van gisteren zo ver weg stond, maar dit schreef ik ook bij het vorige artikel:

--------------------
Voor wie geinteresseerd is in de beveiliging van hun ssl verbinding (voor https, "secure" inloggen) moet je deze test uitslag eens bekijken:

https://www.ssllabs.com/s....nl%2F&hideResults=on

De S van https staat dus voor secure, maar secure heb je in heel veel gradaties. Promedico asp krijgt een F grade, dus het laagste dat er is. Zo zijn de sleutels zwak, wordt er niet met up to date SSL protocollen gewerkt, etc etc. Ik vermoed eigenlijk dat de webserver software outdated is zo aan de test te zien.
--------------------

Het rammelt dus nog aan wat kanten.
open webbased login (itt vpn)
wat is daar mis mee?
oude joomla 1.5 supportsite: http://www.his-support.nl/his/
het is een support site, waarom moet die superbeveiligd zijn?
Nee...het ergste is dat je duidelijk ziet dat ze het in een doofpot wouden doen en er jaren mee door wouden gaan.
Oorspronkelijk stond de software-update gepland voor aanstaande donderdag.
Flinke versnelling hoor!

Dit klinkt meer als paniekvoetbal dan een versnelde update. Sowieso was het al bekend, daarnaast vraag ik mij af hoe het kan dat een stuk software blijkbaar afhankelijk kan zijn van vulnerabilities zoals die in java.

Het lijkt mij meer nalatigheid dan echt up-to-date zijn.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013