Notas de Seguridad SAP, Octubre 2023

Inprosec a través de sus servicios, como el SAP Security Assessment, ayuda a sus clientes a mejorar los niveles de seguridad de sus sistemas SAP.

Contenidos ocultar

1 Notas Octubre 2023

1.1 Resumen y highlights del Mes

2 Detalle completo

3 Enlaces de referencia

4 Recursos afectados

Notas Octubre 2023

Resumen y highlights del Mes

El número total de notas/parches ha sido de 9, 9 menos que el mes pasado. El número de Hot News ha sido de 1, 4 menos que el mes pasado. Por otro lado, cabe destacar que el número de notas de criticidad alta disminuye, pasando 2 a 0. Como siempre dejaremos las notas medias y bajas sin revisar en este mes, pero daremos detalle de un total de 1 nota (todas las que tengan un CVSS de 7 o mayor).

Tenemos un total de 9 notas para todo el mes (las 9 del patch Tuesday, 7 nuevas y 2 actualizaciones, son 9 notas menos que el pasado patch Tuesday).

Revisaremos en detalle la HotNews de este mes, que se trata de una actualización (aquellas de CVSS mayor o igual a 7).

La nota más crítica del mes (con CVSS 10) es una actualización de la nota habitual relacionada con «Google Chromium».
Este mes el tipo más predominante es “Log Injection vulnerability” (2/9 en patch day).

En la gráfica (post octubre 2023 de SAP) podemos ver la clasificación de las notas de octubre, además de la evolución y clasificación de los últimos 5 meses anteriores (solo las notas del Sec. Tuesday / Patch Day – by SAP):

Detalle completo

El detalle completo de las notas más relevantes es el siguiente (en inglés):

Update – Security updates for the browser control Google Chromium delivered with SAP Business Client (2622660): This security note addresses multiple vulnerabilities in the 3rd party web browser control Chromium, which can be used within SAP Business Client. This note will be modified periodically based on web browser updates by the open-source project Chromium. The note priority is based on the highest CVSS score of all the vulnerabilities fixed in the latest browser release. If the SAP Business Client release is not updated to the latest patch level, displaying web pages in SAP Business Client via this open-source browser control might lead to different vulnerabilities like memory corruption, Information Disclosure and the like. The solution will be to update the SAP Business Client patch to the newest one, which contains the most current stable major release of the Chromium browser control, which passed the SAP internal quality measurements of SAP Business Client. The note has been re-released with updated ‘Solution’ and ‘Support Packages & Patches’ information. CVSS v3 Base Score: 10 / 10 (Multiple CVE´s).

Enlaces de referencia

Referencias, en inglés de SAP y Onapsis (octubre):

Digital Library (sap.com)

SAP Security Patch Day for October 2023 | Onapsis

Recursos afectados

El listado completo de los sistemas/componentes afectados es el siguiente:

SAP Business Client, Versions -6.5, 7.0, 7.70

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	Establecida por el plugin GDPR Cookie Consent, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies de la categoría "Publicidad" .
cookielawinfo-checkbox-analytics	1 year	Establecida por el plugin GDPR Cookie Consent, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies de la categoría "Analytics" .
cookielawinfo-checkbox-functional	1 year	La cookie es establecida por el plugin GDPR Cookie Consent para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	1 year	Establecida por el plugin GDPR Cookie Consent, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies de la categoría "Necesaria" .
cookielawinfo-checkbox-others	1 year	Establecida por el plugin GDPR Cookie Consent, esta cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Otros".
cookielawinfo-checkbox-performance	1 year	Establecida por el plugin GDPR Cookie Consent, esta cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Rendimiento".
CookieLawInfoConsent	1 year	Registra el estado del botón por defecto de la categoría correspondiente y el estado de CCPA. Funciona sólo en coordinación con la cookie principal.
JSESSIONID	session	La cookie JSESSIONID es utilizada por New Relic para almacenar un identificador de sesión para que New Relic pueda monitorear el conteo de sesiones de una aplicación.

Cookie	Duración	Descripción
CONSENT	2 years	YouTube instala esta cookie a través de los vídeos incrustados de YouTube y registra datos estadísticos anónimos
_ga	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones y campañas y realizar un seguimiento del uso del sitio para el informe de análisis del sitio. Las cookies almacenan información de forma anónima y asignan un número generado aleatoriamente para identificar visitantes únicos.
_gat_gtag_UA_21251608_1	1 minute	Establecido por Google para distinguir a los usuarios.
_gid	1 day	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información sobre cómo los visitantes usan un sitio web y ayuda a crear un informe analítico de cómo está funcionando el sitio web. Los datos recopilados, incluido el número de visitantes, la fuente de donde provienen y las páginas, se muestran de forma anónima. .

Cookie	Duración	Descripción
VISITOR_INFO1_LIVE	5 months 27 days	Una cookie establecida por YouTube para medir el ancho de banda que determina si el usuario recibe la nueva o la antigua interfaz del reproductor.
YSC	session	La cookie YSC es instalada por Youtube y se utiliza para hacer un seguimiento de las visualizaciones de los vídeos incrustados en las páginas de Youtube.
yt-remote-connected-devices	never	YouTube establece esta cookie para almacenar las preferencias de vídeo del usuario que utiliza el vídeo incrustado de YouTube.
yt-remote-device-id	never	YouTube establece esta cookie para almacenar las preferencias de vídeo del usuario que utiliza el vídeo incrustado de YouTube.
yt.innertube::nextId	never	Esta cookie, instalada por YouTube, registra un ID único para almacenar datos sobre los vídeos de YouTube que ha visto el usuario.
yt.innertube::requests	never	Esta cookie, instalada por YouTube, registra un ID único para almacenar datos sobre los vídeos de YouTube que ha visto el usuario.

Notas de Seguridad SAP, Octubre 2023

Notas Octubre 2023

Resumen y highlights del Mes

Detalle completo

Enlaces de referencia

Recursos afectados

¿Te ha gustado?

¡Compártelo en redes sociales!

Deja una respuesta Cancelar la respuesta

Buscar

Categorías

Calendario de entradas

Nuestros servicios

Contacto

Inprosec en Redes

¿Hablamos?

Notas de Seguridad SAP, Octubre 2023

Notas Octubre 2023

Resumen y highlights del Mes

Detalle completo

Enlaces de referencia

Recursos afectados

¿Te ha gustado?

¡Compártelo en redes sociales!

Deja una respuesta Cancelar la respuesta

Buscar

Categorías

Calendario de entradas

Nuestros servicios

Contacto

Inprosec en Redes

¿Hablamos?

TU PRIVACIDAD ES IMPORTANTE PARA NOSOTROS