InterSystems 已修复一个导致SQL查询返回不正确结果的缺陷。
该缺陷存在于以下产品和基于这些产品的任何InterSystems产品中。
受影响的版本是 2021.2、2022.1.x、2022.2 和 2022.3:
- InterSystems IRIS®
- InterSystems IRIS for Health™(医疗版)
- HealthShare®Health Connect
受影响的版本是 2022.2:
- InterSystems HealthShare®
当启用 SQL 运行时计划选择 (RTPC) 被启用(默认),并且查询包含一个“truth value”“WHERE ?=? 时,该缺陷会被触发,当被触发时,一些判断可能不会被正确评估;这导致了不正确的查询结果。
注意:通过查看SQL语句,无法完全评估一个查询的脆弱性。这是因为InterSystems SQL查询优化可以在查询的内部表示中增加“truth value”。
如果你的环境使用 InterSystems SQL,那么你可以通过禁用RTPC 功能来补救这个问题。
注意:关于 InterSystems HealthShare® 缓解措施的其他信息将很快发布。
此缺陷的修复被标识为 YCL227,将包含在InterSystems IRIS®、InterSystems IRIS for Health™ 和 HealthShare® Health Connect 以及基于它们的任何 InterSystems 产品的所有未来版本中。
这个修复也可以通过补丁 Ad hoc 获得。
如果你对这个警报有任何疑问,或需要一个支持修复的补丁Ad hoc,请联系全球响应中心。