InterSystems 官方
· 17 hr 前

2025 年 6 月 10 日 – 官方公告:命名空间切换和全局显示故障

摘要

公告编号 受影响的产品和版本 风险类别和评分 明确要求

DP-439649

产品:

  • InterSystems IRIS®
  • InterSystems IRIS for Health
  • HealthShare® Health Connect

版本:

  • 2025.1.0.225.1
  • 2025.1.0.223.0
  • 2024.1.4
  • 2023.1.6
  • 2022.1.7

操作:
4 – 高风险

 

系统稳定性:
3 – 中等风险

 

此问题构成安全漏洞。 它允许用户绕过权限检查或访问其授权命名空间之外的数据

使用隐含命名空间、管理门户或数据库读写/只读混合访问权限

在命名空间之间切换或使用以下任何功能访问环境中的全局变量时,上面列出的 InterSystems 产品中的问题可能会引发意外的 <PROTECT> 错误

  • 隐含命名空间
  • 只读访问默认数据库,但读写访问其他地方
  • 列出例程和全局项的管理门户页面

该问题的症状包括:

  • 存在命名空间创建故障 (DP-440830)
  • 在管理门户中列出例程时,间歇性出现访问被拒的情况 (DP-439622)
  • 全局显示实用工具不显示全局变量(如果用户只有只读权限)(DP-440744)

DP-439649 已解决了所有这些问题,纠正了权限检查应用于进程私有全局和隐含命名空间解析的方式。 这些纠正措施针对的是行为中的失误,而不是访问控制中的失误。 权限得到了正确执行,用户无法访问其分配范围之外的全局变量或命名空间

此问题在以下产品的 2025.1.0.230.2、2024.1.4.516.1、2023.1.6.810.1 和 2022.1.7.116.1 版中得到了解决:

  • InterSystems IRIS 
  • InterSystems IRIS for Health
  • HealthShare® Health Connect

了解更多信息

如果您有任何问题或需要帮助,请联系 InterSystems 全球响应中心 (WRC)

讨论 (0)1
登录或注册以继续