2023/04/04 - アラート: 誤ったクエリ結果を返す

インターシステムズは、SQL クエリによって不正な結果が返される可能性がある不具合を修正しました。

この不具合は、以下の製品およびそれらをベースとしたインターシステムズの提供する製品に存在します。

影響を受けるバージョン:  2021.2, 2022.1.x, 2022.2, 2022.3

InterSystems IRIS®

InterSystems IRIS for Health™

HealthShare® Health Connect

影響を受けるバージョン: 2022.2

 InterSystems HealthShare®

この問題は、SQL Runtime Plan Choice (RTPC) が有効(デフォルト設定)で、クエリに「真理値」である WHERE ? = ? が含まれている場合、発生することがあります。この問題が発生すると、一部の述語が正しく評価されない可能性があり、これが不正なクエリ結果につながります。

注意: SQL を確認することで、クエリの脆弱性を完全に評価することは不可能です。これは、InterSystems SQL のクエリ最適化により、クエリの内部表現に真理値が追加されるためです。

お使いの環境で InterSystems SQL が使用されている場合は、RTPC 機能を無効にすることで、この問題を直ちに修正することができます

注意：InterSystems HealthShare® の軽減策に関する追加情報は、まもなくリリースされる予定です。

この不具合の修正は YCL227 で、InterSystems IRIS®、InterSystems IRIS for Health™、および HealthShare® Health Connect の将来のすべてのバージョン、およびそれらをベースとするインターシステムズ製品に含まれる予定です。

また、この修正は、アドホック配布でも入手可能です。

このアラートに関するご質問、または修正版のアドホック配布が必要な場合は、ワールドワイド・レスポンス・センターまでご連絡ください。