Alerta: Resultados Incorrectos de Consultas

4 de abril de 2023

InterSystems ha corregido un defecto que puede provocar que una consulta SQL devuelva resultados incorrectos.

El defecto existe en los siguientes productos y en cualquier distribución de InterSystems basada en ellos.

Versiones impactadas 2021.2, 2022.1.x, 2022.2 y 2022.3:

InterSystems IRIS®

InterSystems IRIS for Health™

HealthShare® Health Connect

Versión impactada 2022.2:

 InterSystems HealthShare®

El problema se puede desencadenar cuando está habilitada la Elección del Plan del Tiempo de Ejecución (Runtime Plan Choice, RTPC) de SQL (la configuración predeterminada) y la consulta contiene un clausula "truth value": WHERE ? = ?. Cuando se desencadena, algunos predicados pueden no ser evaluados correctamente, lo que lleva a resultados incorrectos de la consulta. 

Nota: no es posible evaluar completamente la vulnerabilidad de una consulta revisando el SQL. Esto es así porque la optimización de consultas SQL de InterSystems puede añadir "truth values" a la representación interna de las consultas.

Si vuestro entorno usa InterSystems SQL, entonces podéis resolver inmediatamente el problema desactivando la funcionalidad RTPC.

Nota: Pronto se publicará información adicional sobre mitigaciones para InterSystems HealthShare®.

La corrección de este defecto se identifica como YCL227 y se incluirá en todas las versiones futuras de InterSystems IRIS®, InterSystems IRIS for Health™ y HealthShare® Health Connect, así como en todos los productos de InterSystems basados en ellos.

La corrección también está disponible mediante distribución Ad hoc.

Para cualquier duda o consulta sobre esta alerta o si necesitáis una distribución Ad hoc con la corrección, contactad por favor con el Centro de Soporte Internacional (WRC).