以下のは、ウェブページスクリーンショットに関する脆弱性の主要な情報です: 脆弱性概要 OnapsisがSAP HANAおよびビルドコンポーネントに関連する15の注意書を公開 - 日付: 2016年7月21日 主要な脆弱性の詳細 1. エラーメッセージを通じた情報漏洩 - CVE番号: CVE-2016-6145 - 説明: SAP HANAデータベースへのSQLインタフェースによるログイン時に、エラーメッセージが多すぎる情報を表示し、攻撃者が異なるデータベースユーザーを特定できるようになります。 2. SAP HANA SYSTEMユーザーに対するブルートフォース攻撃 - CVE番号: CVE-2016-6144 - 説明: 攻撃者はブルートフォースにより、SAP HANAプラットフォームで最も強力なユーザーであるSYSTEMユーザーにアクセスできます。 技術的詳細 エラーメッセージの例: - 例文: "DatabaseError: invalid username or password" - ユーザーが存在してロックされている場合、メッセージは全く異なります。 脆弱性の影響: - 攻撃者は異なるエラーメッセージを通じて有効なユーザーを判別できます。 - 攻撃者はこの脆弱性を利用してロック回数を特定し、対象のユーザーをロックすることなくブルートフォース攻撃を実行できます。 修復提案 SAPが公開したセキュリティ注釈 2216869 - ログインエラーメッセージに表示される情報の量を制御するための パラメータが新たに追加されました。 - このパラメータを に設定すると、表示されるメッセージは「認証に失敗しました」に統一されます。 SYSTEMユーザーのセキュリティ対策: - 無効なログイン試行が一定の閾値に達した後にSYSTEMユーザーをロックするための パラメータが新たに追加されました。 結論 SAP HANAプラットフォームの最新のセキュリティパッチを適用し、SAP HANAセキュリティガイドラインに基づいてプラットフォームを設定することが重要です。