以下是网页截图中关于漏洞的关键信息: 漏洞概述 Onapsis发布了15个与SAP HANA和构建组件相关的公告 - 日期: 2016年7月21日 主要漏洞细节 1. 信息暴露通过错误消息 - CVE编号: CVE-2016-6145 - 描述: 通过SQL接口登录SAP HANA数据库时,错误消息会显示过多信息,使攻击者能够确定不同的数据库用户。 2. SAP HANA SYSTEM用户暴力破解攻击 - CVE编号: CVE-2016-6144 - 描述: 攻击者可以通过暴力破解访问SAP HANA平台的最强大用户: SYSTEM。 技术细节 错误消息示例: - 示例消息: "DatabaseError: invalid username or password" - 当用户存在并且被锁定时,消息完全不同。 漏洞影响: - 攻击者可以通过不同的错误消息发现有效用户。 - 攻击者可以利用该漏洞确定锁定用户的次数,进行暴力破解攻击且不锁定目标用户。 修复建议 SAP发布的安全说明2216869 - 新增了 参数,用于控制登录错误消息中显示的信息量。 - 配置此参数为 后,显示消息将统一为“认证失败”。 SYSTEM用户的安全措施: - 新增了 参数,用于锁定SYSTEM用户在达到一定无效登录尝试阈值后。 结论 维护SAP HANA平台的最新安全补丁,并根据SAP HANA安全指南配置平台非常重要。