摘要
| 公告编号 | 受影响的产品和版本 | 风险类别和评分 | 明确 要求 |
| DP-439649 | 产品
版本:
| 运行:4 - 高风险 系统稳定性:3 - 中等风险 此问题不构成安全漏洞。 它不允许用户绕过权限检查或访问其授权命名空间之外的数据 | 使用隐含命名空间、管理门户或数据库读写/只读混合访问权限 |
在使用以下任何功能的环境中,在命名空间之间切换或访问全局时,上述 InterSystems 产品中的一个问题可能会引发意外的 <PROTECT> 错误:
- 隐含命名空间
- 只读访问默认数据库,但读写访问其他地方
- 列出例程和全局项的管理门户页面
该问题的症状包括:
- 命名空间创建失败(DP-440830)
- 在管理门户中列出例程时,间歇性拒绝访问(DP-439622)
- 如果用户只有只读权限,全局显示实用程序不会显示全局(DP-440744)
DP-439649 已解决了所有这些问题,纠正了权限检查应用于进程私有全局和隐含命名空间解析的方式。 这些纠正措施针对的是行为 中的失误,而不是访问控制中的失误。 权限得到了正确执行,用户无法访问其分配范围之外的全局变量或命名空间。
此问题已在以下产品的 2025.1.0.230.2、2024.1.4.516.1、2023.1.6.810.1 和 2022.1.7.116.1 版本中得到修复:
- InterSystems IRIS
- InterSystems IRIS for Health(医疗版)
- HealthShare®Health Connect
更多信息
如有疑问或需要帮助,请联系 InterSystems 全球响应中心(WRC)。