一、漏洞概述

1、简介

OpenMRS[1]是一种基于患者的医疗记录系统，专注于为提供商提供免费的可定制电子病历系统（EMR）。2017 年，OpenMRS 在 3,000 多个站点上实施，并为超过 870 万活跃患者存储信息。

2019 年2 月4 日，安全研究员Nicolas Serra 在Bishop Fox 博客上披露了OpenMRS在版本小于 2.24.0 中存在反序列命令执行漏洞[2]。

2019 年 3 月 4 日，Seebug 平台收录了该漏洞[4]，知道创宇 404 漏洞应急团队开始对该漏洞进行漏洞应急。

2、影响版本

OpenMRS 版本小于 2.24.0，且使用了 webservices.rest 模块的，影响版本如下：

OpenMRSPlatform 10.X

OpenMRSPlatform 11.X，1.11.8 和 1.11.9 版本并不受影响

OpenMRSPlatform 12.X

OpenMRS Platform2.0.X

OpenMRS Platform2.1.X

OpenMRS Reference Application2.6.x

OpenMRS Reference Application2.7.x

OpenMRS Reference Application2.8.x

二、漏洞复现

1、复现环境

• JDK 1.8_121
• OpenMRS 2.1.3

三、漏洞影响

根据 ZoomEye 网络空间搜索引擎对 OpenMRS 关键词的搜索结果[5]，共找到 253 条历史记录。

四、防护方案

1、OpenMRS 官方已经在2.24.0 版本中修复了该漏洞，建议受影响的用户尽快升级更新进行防护。

2、使用第三方防火墙进行防护(如创宇盾[https://www.yunaq.com/cyd/])

3、技术业务咨询

    知道创宇技术业务咨询热线 :

    400-060-9587(政府，国有企业)、028-68360638(互联网企业)