一、漏洞概述
1、简介
OpenMRS[1]是一种基于患者的医疗记录系统,专注于为提供商提供免费的可定制电子病历系统(EMR)。2017 年,OpenMRS 在 3,000 多个站点上实施,并为超过 870 万活跃患者存储信息。
2019 年2 月4 日,安全研究员Nicolas Serra 在Bishop Fox 博客上披露了OpenMRS在版本小于 2.24.0 中存在反序列命令执行漏洞[2]。
2019 年 3 月 4 日,Seebug 平台收录了该漏洞[4],知道创宇 404 漏洞应急团队开始对该漏洞进行漏洞应急。
2、影响版本
OpenMRS 版本小于 2.24.0,且使用了 webservices.rest 模块的,影响版本如下:
OpenMRSPlatform 10.X
OpenMRSPlatform 11.X,1.11.8 和 1.11.9 版本并不受影响
OpenMRSPlatform 12.X
OpenMRS Platform2.0.X
OpenMRS Platform2.1.X
OpenMRS Reference Application2.6.x
OpenMRS Reference Application2.7.x
OpenMRS Reference Application2.8.x
二、漏洞复现
1、复现环境
- JDK 1.8_121
- OpenMRS 2.1.3
三、漏洞影响
根据 ZoomEye 网络空间搜索引擎对 OpenMRS 关键词的搜索结果[5],共找到 253 条历史记录。
四、防护方案
1、OpenMRS 官方已经在2.24.0 版本中修复了该漏洞,建议受影响的用户尽快升级更新进行防护。
2、使用第三方防火墙进行防护(如创宇盾[https://www.yunaq.com/cyd/])
3、技术业务咨询
知道创宇技术业务咨询热线 :
400-060-9587(政府,国有企业)、028-68360638(互联网企业)
超级管理员知道创宇安全服务团队渗透工程师。