4 avril 2023 - Alerte : résultats de requête incorrects

InterSystems a corrigé un défaut qui pouvait amener une requête SQL à renvoyer des résultats incorrects.

Le défaut existe dans les produits suivants et dans toutes les offres InterSystems basées sur ceux-ci.

Les versions concernées sont 2021.2, 2022.1.x, 2022.2 et 2022.3 :

InterSystems IRIS®

InterSystems IRIS for Health™

HealthShare® Connexion Santé

La version impactée est 2022.2 :

InterSystems HealthShare®

Le problème peut être déclenché lorsque SQL Runtime Plan Choice (RTPC) est activé (valeur par défaut) et que la requête contient une "valeur de vérité" WHERE ? = ?. Lorsqu'ils sont déclenchés, certains prédicats peuvent ne pas être évalués correctement ; cela conduit à des résultats de requête incorrects.

Remarque : Il n'est pas possible d'évaluer complètement la vulnérabilité d'une requête en examinant le SQL. En effet, l'optimisation des requêtes SQL InterSystems peut ajouter des valeurs de vérité à la représentation interne des requêtes.

Si votre environnement utilise InterSystems SQL, vous pouvez immédiatement résoudre le problème en désactivant la fonction RTPC.

Remarque : des informations supplémentaires sur les mesures d'atténuation pour InterSystems HealthShare® seront publiées sous peu.

La correction de ce défaut est identifiée comme YCL227 et sera incluse dans toutes les futures versions d'InterSystems IRIS®, InterSystems IRIS for Health™ et HealthShare® Health Connect ainsi que tous les produits InterSystems basés sur eux.

La correction est également disponible via la distribution ad hoc.

Si vous avez des questions concernant cette alerte ou si vous avez besoin d'une distribution ad hoc avec la correction, veuillez contacter Worldwide Response Center.