Nhà sản xuất thiết bị lưu trữ gắn mạng (NAS) QNAP hôm thứ Năm cho biết họ đang điều tra dòng sản phẩm của mình về tác động tiềm ẩn phát sinh từ hai lỗ hổng bảo mật đã được giải quyết trong máy chủ apache HTTP vào tháng trước.
Các lỗi nghiêm trọng, được theo dõi là CVE-2022-22721 và CVE-2022-23943, được xếp hạng 9,8 về mức độ nghiêm trọng trên hệ thống tính điểm CVSS và ảnh hưởng đến Máy chủ Apache HTTP phiên bản 2.4.52 trở về trước –
CVE-2022-22721 – Có thể xảy ra tràn bộ đệm với LimitXMLRequestBody rất lớn hoặc không giới hạn CVE-2022-23943 – Lỗ hổng ghi ngoài giới hạn trong mod_sed của Apache HTTP Server
Cả hai lỗ hổng bảo mật, cùng với CVE-2022-22719 và CVE-2022-22720, đã được những người bảo trì dự án khắc phục như một phần của phiên bản 2.4.53, được xuất xưởng vào ngày 14 tháng 3 năm 2022.
“Mặc dù CVE-2022-22719 và CVE-2022-22720 không ảnh hưởng đến các sản phẩm QNAP, CVE-2022-22721 ảnh hưởng đến các kiểu NAS QNAP 32-bit và CVE-2022-23943 ảnh hưởng đến những người dùng đã bật mod_sed trong Apache HTTP Server trên Thiết bị QNAP, “công ty Đài Loan cho biết trong một cảnh báo được công bố trong tuần này.
Trong trường hợp không có sẵn các bản cập nhật bảo mật, QNAP đã đưa ra các giải pháp thay thế, bao gồm “giữ giá trị mặc định ‘1M' cho LimitXMLRequestBody” và tắt mod_sed, thêm rằng tính năng mod_sed bị tắt theo mặc định trong Apache HTTP Server trên thiết bị NAS chạy QTS. hệ thống.
Lời khuyên được đưa ra gần một tháng sau khi tiết lộ rằng họ đang làm việc để giải quyết lỗ hổng vòng lặp vô hạn trong OpenSSL (CVE-2022-0778, điểm CVSS: 7,5) và phát hành các bản vá cho lỗ hổng Dirty Pipe Linux (CVE-2022-0847, điểm CVSS : 7.8).
.