摘要
| 公告编号 | 受影响的产品和版本 | 风险类别和评分 | 明确要求 |
|
DP-439649 |
产品:
版本:
|
操作:
系统稳定性:
此问题不构成安全漏洞。 它不允许用户绕过权限检查或访问其授权命名空间之外的数据 |
使用隐含命名空间、管理门户或数据库读写/只读混合访问权限 |
在命名空间之间切换或使用以下任何功能访问环境中的全局变量时,上面列出的 InterSystems 产品中的问题可能会引发意外的 <PROTECT> 错误:
- 隐含命名空间
- 只读访问默认数据库,但读写访问其他地方
- 列出例程和全局项的管理门户页面
该问题的症状包括:
- 存在命名空间创建故障 (DP-440830)
- 在管理门户中列出例程时,间歇性出现访问被拒的情况 (DP-439622)
- 全局显示实用工具不显示全局变量(如果用户只有只读权限)(DP-440744)
DP-439649 已解决了所有这些问题,纠正了权限检查应用于进程私有全局和隐含命名空间解析的方式。 这些纠正措施针对的是行为中的失误,而不是访问控制中的失误。 权限得到了正确执行,用户无法访问其分配范围之外的全局变量或命名空间
此问题在以下产品的 2025.1.0.230.2、2024.1.4.516.1、2023.1.6.810.1 和 2022.1.7.116.1 版中得到了解决:
- InterSystems IRIS
- InterSystems IRIS for Health
- HealthShare® Health Connect
了解更多信息
如果您有任何问题或需要帮助,请联系 InterSystems 全球响应中心 (WRC)。
