製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

SAP HANA のマルチテナントデータベースのコンテナ機能におけるアクセス制限を回避される脆弱性

タイトル	SAP HANA のマルチテナントデータベースのコンテナ機能におけるアクセス制限を回避される脆弱性
概要	SAP HANA のマルチテナントデータベースのコンテナ機能は、通信を適切に暗号化しないため、アクセス制限を回避されるなど、不特定の影響を受ける脆弱性が存在します。ベンダは、本脆弱性を SAP Security Note 2233550 として公開しています。補足情報 : CWE による脆弱性タイプは、CWE-284: Improper Access Control (不適切なアクセス制御) と識別されています。 http://cwe.mitre.org/data/definitions/284.html
想定される影響	第三者により、アクセス制限を回避されるなど、不特定の影響を受ける可能性があります。
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
公表日	2016年1月12日0:00
登録日	2016年8月17日17:52
最終更新日	2016年8月17日17:52

CVSS3.0 : 緊急
スコア	9.8
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS2.0 : 危険
スコア	7.5
ベクター	AV:N/AC:L/Au:N/C:P/I:P/A:P

影響を受けるシステム

SAP

SAP HANA

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-6150	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6150
National Vulnerability Database (NVD)
2	CVE-2016-6150	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6150

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
SAP
1	SAP Security Notes January 2016 - Review (2233550)	http://scn.sap.com/community/security/blog/2016/01/12/sap-security-notes-january-2016-review

その他

No	名前	URL
関連文書
1	Analyzing SAP Security Notes January 2016 (2233550)	https://www.onapsis.com/blog/analyzing-sap-security-notes-january-2016

変更履歴

No	変更内容	変更日
0	[2016年08月17日] 掲載	2018年2月17日10:37

NVD脆弱性情報

CVE-2016-6150

概要	The multi-tenant database container feature in SAP HANA does not properly encrypt communications, which allows remote attackers to bypass intended access restrictions and possibly have unspecified other impact via unknown vectors, aka SAP Security Note 2233550.
公表日	2016年8月5日23:59
登録日	2021年1月26日14:14
最終更新日	2024年11月21日11:55

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:sap:hana:-:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	http://packetstormsecurity.com/files/138453/SAP-HANA-DB-Encryption-Issue.html
2	http://packetstormsecurity.com/files/138453/SAP-HANA-DB-Encryption-Issue.html
3	http://seclists.org/fulldisclosure/2016/Aug/96
4	http://seclists.org/fulldisclosure/2016/Aug/96
5	http://www.securityfocus.com/bid/92064		Third Party Advisory VDB Entry
6	http://www.securityfocus.com/bid/92064		Third Party Advisory VDB Entry
7	https://layersevensecurity.com/wp-content/uploads/2016/02/Layer-Seven-Security_SAP-Security-Notes_January-2016.pdf		Technical Description Third Party Advisory
8	https://layersevensecurity.com/wp-content/uploads/2016/02/Layer-Seven-Security_SAP-Security-Notes_January-2016.pdf		Technical Description Third Party Advisory
9	https://www.onapsis.com/research/security-advisories/sap-hana-potential-wrong-encryption		Permissions Required Third Party Advisory
10	https://www.onapsis.com/research/security-advisories/sap-hana-potential-wrong-encryption		Permissions Required Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-284	不適切なアクセス制御	https://cwe.mitre.org/data/definitions/284.html