Java-probleem huisartsen is opgelost

De onveilige situatie waarbij huisartsen hun Java-versie niet konden bijwerken, omdat ze dan niet meer bij hun patiëntendossiers konden komen, is opgelost. De leverancier heeft maandag een 'versnelde update van het systeem doorgevoerd'.

Maandag berichtte Tweakers dat huisartsen gedwongen werden met een onveilige Java-versie te werken, omdat de recentste Java-versie niet compatibel was met het loginsysteem van Promedico, software die wordt gebruikt om patiëntdossiers bij te houden. De verouderde versie bevatte 42 beveiligingsproblemen, waarvan er 39 op afstand te misbruiken waren. Enkele waren geclassificeerd als 'kritiek' en Oracle adviseerde gebruikers om zo snel mogelijk te updaten.

Na de berichtgeving heeft Promedico versneld een software-update uitgerold, laat het bedrijf in een schriftelijke verklaring weten. Daardoor kunnen gebruikers nu updaten naar de nieuwste Java-versie, zonder dat er loginproblemen optreden. "De betreffende update van het Huisartsen Informatie Systeem stond al gepland, maar hebben wij nu versneld doorgevoerd", aldus het bedrijf. Oorspronkelijk stond de software-update gepland voor aanstaande donderdag.

Het was al sinds halverwege april bekend dat de Java-versie onveilig was: toen werd een update uitgerold die de beveiligingsproblemen oploste. Promedico zegt te willen voorkomen dat een dergelijke onveilige situatie zich opnieuw voordoet. "Wij realiseren ons terdege dat dergelijke verbeteringen die effecten kunnen hebben op de belangen van patiënten sneller en directer moeten worden geïmplementeerd", zo luidt de verklaring.

Honderden huisartsen waren getroffen door het probleem. Volgens Promedico zijn er geen aanwijzingen dat de onveilige Java-versie er daadwerkelijk toe heeft geleid dat bijvoorbeeld patiëntendossiers op straat zijn komen te liggen. Desondanks wordt de huisartsen aangeraden om de Java-update in kwestie zo snel mogelijk te installeren.

Door Joost Schellevis

Redacteur

Feedback • 04-06-2013 13:5143

04-06-2013 • 13:51

43 Linkedin

Lees meer

Oracle kan verplicht worden om te waarschuwen bij onveilige Java-versies Nieuws van 22 december 2015
Programmeertaal Java is 20 jaar oud Nieuws van 22 mei 2015
Minister: gebruik onveilige Java-versie door huisartsen was onwenselijk Nieuws van 24 juni 2013
D66: huisartsen dwingen tot gebruik onveilige Java-versie is onrechtmatig Nieuws van 5 juni 2013
Huisartsen gedwongen tot gebruik uiterst onveilige Java-versie Nieuws van 3 juni 2013
Oracle stelt Java 8-release uit tot begin 2014 Nieuws van 20 april 2013
Google en Opera stappen over op fork 'Blink' van WebKit-browserengine - update Nieuws van 4 april 2013
Chrome OS overleeft Pwnium 3-aanvallen Nieuws van 9 maart 2013
Oracle dicht opnieuw Java-lekken met noodpatch Nieuws van 5 maart 2013
Apple blokkeert oudere versies van Adobe Flash in Safari Nieuws van 2 maart 2013
Adobe komt met noodpatch Flash voor misbruikte beveiligingslekken Nieuws van 8 februari 2013
Meer producten en artikelen
Netwerk en systeembeheer Java

Reacties (43)

-Moderatie-faq
43
43
36
2
0
0
Wijzig sortering
RiDo78
4 juni 2013 17:36
Wat een storm in een glas water.

Waar iedereen even voor het gemak aan voorbij gaat is de tijd die nodig is om bepaalde aanpassingen te doen en te testen.

Als het nu gaat om een update van 3 jaar geleden, dan ben ik het helemaal met iedereen eens. Maar, Java 7 release 21 is van 16 april 2013, slechts 7 weken oud dus. De vorige release is slechts 3 maanden oud en daar werkt de applicatie wel.

Tuurlijk, er zijn 42 security bugs geplet in release 21. Maar elke systeembeheerder of developer die blind gaat upgraden naar de laatste versie van welk stuk software dan ook, riskeert dat de update meer kwaad dan goed doet. En hou zou iedereen gereageerd hebben als er een dode valt omdat het patientendossier niet geraadpleegd kon worden? Even penicilline voorschrijven aan iemand die daar bekend allergisch voor is? lullig...

In het kort: Oracle maakt een update -> Update breekt een functie -> Applicatie krijgt de schuld.
Cobalt
@RiDo784 juni 2013 18:14
Java is backward compatible in de zin van dat alle gecompileerde code gewoon blijft werken op nieuwe versies. Nieuwe gecompileerde code specifiek voor 7 kan op 6 niet werken. Java developers wordt aangeraden om geen interne functies die niet in de api staan te gebruiken. Doe je dat wel dan ben je als developer min of meer verplicht bij elke update te controleren of je code nog werkt.
Wh4ck0
@RiDo784 juni 2013 18:00
Java is backward compatible, dus als jij compileert met de nieuwe versie, dan hoort het bijna direct te werken. Tenzij je rare dingen doet, of toevallig een van de fixes raakt met je software. Maar dat kan je redelijk snel fixen.
David Mulder
4 juni 2013 13:53
Aan de ene kant slecht dat het ze zo lang duurder, aan de andere kant wel een mooi voorbeeld van het belang van de media in de samenleving. Had tweakers en andere vergelijkbare bedrijven er niet over bericht dan had het op z'n minst langer geduurd, mogelijk zelfs nog weken. Dus sowieso fijn om dit artikel te lezen en niet alleen het artikel van maandag :D :D
mkools24
@David Mulder4 juni 2013 14:02
Druppel op de gloeiende plaat dit. Hoeveel procent van alle bedrijven zou nu Java 7u21 draaien? 2-3%? De meesten zitten nog op 1.5 of 1.6 vanwege compatibiliteit.
MrvdB
@mkools244 juni 2013 15:06
Hier hetzelfde verhaal versie 6u24. Mooie is dat ook een aantal overheids tools het niet doen op nieuwere versies, echter zijn er andere tools van de overheid die het enkel doen op nieuwere versies. Wat moet je dan....

Om het berichtje toch positief af te sluiten, er worden de laatste tijd wel geregeld tools geupdate naar HTML5 / PHP omgevingen, wat tot nu toe in ieder geval een stuk beter werkt.

[Reactie gewijzigd door MrvdB op 4 juni 2013 15:10]

sumac
@MrvdB4 juni 2013 15:37
Je kunt twee browsers naast elkaar draaien, ieder met z'n eigen plugin. Desnoods twee firefox-versies, een normale, en een thumbstick-versie. Probleem is alleen dat het hier om de overheid gaat, en dat betekent dat IT dit niet zal toelaten. Andere oplossing is Citrix of een VM of desnoods een tweede computer voor die ene tool die je eens in de week gebruikt. Genoeg oplossingen te vinden, ook al zijn ze niet mooi.
mkools24
@sumac4 juni 2013 15:46
Yep wij hebben Oracle forms die 6u25 vereist. Die bieden we gewoon met App-V aan en in de omgeving zelf is gewoon 7u21 geinstalleerd.
MrvdB
@sumac4 juni 2013 15:57
Je kunt twee browsers naast elkaar draaien, ieder met z'n eigen plugin. Desnoods twee firefox-versies, een normale, en een thumbstick-versie. Probleem is alleen dat het hier om de overheid gaat, en dat betekent dat IT dit niet zal toelaten. Andere oplossing is Citrix of een VM of desnoods een tweede computer voor die ene tool die je eens in de week gebruikt. Genoeg oplossingen te vinden, ook al zijn ze niet mooi.
Er zijn inderdaad legio oplossingen, echter ben ik zelf geen systeembeheerder en gezien onze starre ICT afdeling is het nu dus zo dat wij met een verouderde Java versie werken. Dit omdat de op het oudere Java draaiende programma belangrijker is dan het programma dat op de laatste versie moet draaien.

Zelf erg geïnteresseerd in ICT maar nooit men beroep van gemaakt, echter is een niet updatende en niet meewerkende ICT afdeling dan wel echt een frustratie.....
Nickvda
@MrvdB4 juni 2013 15:49
Klinkt als het verleggen van een probleem.
repeP
@mkools244 juni 2013 14:25
Vraag me wel af wie nu waarvoor verantwoordelijk is, de huisarts die niet meer in logt vanwege het risico dan wel het bedrijf dat niet tijdig de software weet te upgraden?
Tweekzor
@David Mulder4 juni 2013 14:00
Ik vind het eerder verontrustend dat er media-aandacht voor nodig is voordat een dergelijk bedrijf (snel) stappen onderneemt tegen zo een grove fout van zichzelf. Deze update had met spoed gemaakt en uitgerold moeten worden.
kwakzalver
@Tweekzor4 juni 2013 15:35
Toch wel weer een mooie smoes door voorschrijdend inzicht.

Als we terugkijken. Hadden ze de update zeker niet in de planning. Dan hadden ze wel meegedeeld dat dit opgelost zou worden in de volgende update maar dat ze deze nog aan het testen waren.

Door achteraf te zeggen..."Dit zou toch donderdag al met de update meekomen...maar we doen het nu 2 dagen eerder", is het wel heel erg duidelijk een smoes en PR aktie om een goede naam te krijgen.

Gelukkig is er nog tweakers en publieke media. Aan de schandpaal nagelen helpt soms om dit soort problemen toch op te lossen.
Anoniem: 126717
@David Mulder4 juni 2013 14:33
Had tweakers en andere vergelijkbare bedrijven er niet over bericht dan had het op z'n minst langer geduurd, mogelijk zelfs nog weken.
Grappig, in de tekst van het artikel staat een quote: Oorspronkelijk stond de software-update gepland voor aanstaande donderdag.
Dat is dus overmorgen.
Rafe
@Anoniem: 1267174 juni 2013 15:06
Die neem ik met een korreltje zout, klinkt als schadebeperking. Waarom hebben ze er anderhalve maand mee gewacht? Ze wisten er al sinds 18 april van blijkt uit de screenshot.
Xatr0z
4 juni 2013 14:13
open webbased login (itt vpn): https://www.promedico-asp.nl/his/index.jsp
oude joomla 1.5 supportsite: http://www.his-support.nl/his/

Dit is 3 seconde googlewerk, als ik dit verhaal hoor en dit zie krijg ik een gevoel dat er nog heel wat kwetsebaarheden gevonden kunnen worden bij dit bedrijf/systeem.

Zoals zo vaak. Als burger wordt je verplicht je gegevens aan allerhande bedrijven (binnen en buitenland) weg te geven, die er vervolgens maar mee mogen doen wat ze willen. Het wordt pas een probleem als een lulzsec-achtig groepje het op pastebin gooit en er een mediarel ontstaat. De USA met patriotact en chinese of syrische hackers hoor je niets van; daar wordt dus ook niets tegen gedaan.

Als je iets vind kun je melden wat je wilt, maar oplossen ho maar. Ja als het spannend genoeg is en je kunt een rel op tweakers veroorzaken. Maar rechten heb je als simpele burger niet.
Het wordt dus tijd voor echte eigendomsrechten op je eigen data, en een mogelijkheid om hoge claims in te kunnen doen als die data te grabbel wordt gegooit door derden.
sjongenelen
@Xatr0z4 juni 2013 14:26
Open webbased login, zoals erhm, bij iedere bank? DigiD?
Een volledig losstaande backoffice / support website?

Lekker boeien
Boozman
@Xatr0z4 juni 2013 16:57
Jammer dat mijn post van gisteren zo ver weg stond, maar dit schreef ik ook bij het vorige artikel:

--------------------
Voor wie geinteresseerd is in de beveiliging van hun ssl verbinding (voor https, "secure" inloggen) moet je deze test uitslag eens bekijken:

https://www.ssllabs.com/s...-asp.nl%2F&hideResults=on

De S van https staat dus voor secure, maar secure heb je in heel veel gradaties. Promedico asp krijgt een F grade, dus het laagste dat er is. Zo zijn de sleutels zwak, wordt er niet met up to date SSL protocollen gewerkt, etc etc. Ik vermoed eigenlijk dat de webserver software outdated is zo aan de test te zien.
--------------------

Het rammelt dus nog aan wat kanten.
Anoniem: 167912
@Xatr0z4 juni 2013 21:35
open webbased login (itt vpn)
wat is daar mis mee?
oude joomla 1.5 supportsite: http://www.his-support.nl/his/
het is een support site, waarom moet die superbeveiligd zijn?
_Thanatos_
4 juni 2013 14:46
Alsof huisartsen dat uberhaupt doen. Die lui hebben geen moer verstand van computers. Updates en installaties laten ze toch zeker door een extern bedrijf afhandelen? Er zijn massa's en massa's bedrijven die systeembeheer inhuren, en de werknemers in géén geval zelf dingen installeren. Huisartsenpraktijken zullen hierin geen uitzondering zijn.
Multispeed
@_Thanatos_4 juni 2013 14:50
Zoals aangegeven, wij deden het systeembeheer. Maar bij promedico zeggen ze doodleuk dat je die update niet moet installeren of maar moet de-installeren als iets niet werkt.
_Thanatos_
@Multispeed4 juni 2013 14:53
En mijn punt is dat huisartsen het wrs negeren, omdat ze niet zullen weten wat java eigenlijk is.
Multispeed
@_Thanatos_4 juni 2013 14:56
Dat klopt ook wel, maar als systeembeheerder moet je het ook wel negeren ( behalve dan aangeven bij promedico dat je het belachelijk vind) Want ze helpen je gewoon niet verder met die updates geinstalleerd.

Kwalijke zaak tbh
questarey
4 juni 2013 14:06
Wel grappig dat dit probleem zich al weken voor doet, gister pas op tweakers in het nieuws is en vandaag ineens is opgelost!
sjongenelen
@questarey4 juni 2013 14:24
Ik verwacht dat ze dit al lang opgelost hadden, maar gewoonweg nog niet ge released. Logisch , release doe je /probeer je als het goed is in een vaste interval te doen.
Rafe
@sjongenelen4 juni 2013 14:57
Niet als het dergelijke ernstige beveiligingsproblemen betreft waarvan de details (metasploit bijvoorbeeld) op het internet staan, dan is anderhalve maand echt veel te lang en dan breng je tussendoor een nieuwe versie uit.
Anoniem: 485579
4 juni 2013 14:13
Kunnen ze meteen de andere problemen oplossen?
- Werkt nog niet op IE 10 (aangegeven dat dit 1 maart 2013 zou werken)
- Zoeken naar brieven is een ramp (per dag i.p.v. periode)
- Te vaak offline voor updates (in de avond uren, als de meeste artsen hun administratie bijwerken, in de ochtend voor 8:00 zou beter zijn).
- Onlogische afblokken van de agenda (Je krijgt eerst een scherm waar je een patiënt moet kiezen (wat je niet wil), maar onderaan de knop volgende (zonder te selecteren) gaat door naar andere opties.
- etc.

Ja deze problemen zijn al lang geleden aangekaart, maar schijnbaar helpt media aandacht, dus proberen we het hier even ;-)

[Reactie gewijzigd door Anoniem: 485579 op 4 juni 2013 14:15]

sjongenelen
@Anoniem: 4855794 juni 2013 14:24
Then again, ze hebben wel NHGDoc integratie..!
Sharky_NL
4 juni 2013 13:56
Het is eigenlijk toch weer te gek voor worden dat er het eerst in de media moet komen voordat er werkelijk actie wordt ondernomen. Promedico had dit toch veel eerder kunnen doen? Dan was er ook geen ophef geweest over de onveilige java versie.
Pnothy
4 juni 2013 14:04
Zoals hier al te lezen is was de eerdere aanpak om deze fix gewoon mee te nemen in de volgende release (donderdag), maar door de media-aandacht zijn ze zich er extra bewust van geworden dat deze fix 1,5 maand geleden al een uitzonderingspositie had moeten krijgen. Dat konden ze niet beter meer oplossen dan op deze manier, dus dat vind ik dan nog best netjes.

Ik hoop dat ze hiermee hun lesje geleerd hebben en bij volgende van dit soort situaties meteen zelf de conclusie trekken dat een snelle fix aangewezen is. Die indruk wekken ze in ieder geval wel.
ultimasnake
4 juni 2013 14:06
Direct de huisartsen dwingen te updaten omdat ze anders niet meer kunnen inloggen en dan zitten ze weer goed, ik denk dat een hoop zich niet gedwongen voelen om nu te updaten.
Firesphere
4 juni 2013 14:26
Oorspronkelijk stond de software-update gepland voor aanstaande donderdag.
Flinke versnelling hoor!

Dit klinkt meer als paniekvoetbal dan een versnelde update. Sowieso was het al bekend, daarnaast vraag ik mij af hoe het kan dat een stuk software blijkbaar afhankelijk kan zijn van vulnerabilities zoals die in java.

Het lijkt mij meer nalatigheid dan echt up-to-date zijn.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee