QNAP khuyến cáo người dùng cập nhật phần mềm điều khiển NAS để vá lỗ hổng HTTP của Apache

Nhà sản xuất thiết bị lưu trữ gắn mạng (NAS) QNAP hôm thứ Năm cho biết họ đang điều tra dòng sản phẩm của mình về tác động tiềm ẩn phát sinh từ hai lỗ hổng bảo mật đã được giải quyết trong máy chủ Apache HTTP vào tháng trước.

Các lỗi nghiêm trọng, được theo dõi là CVE-2022-22721 và CVE-2022-23943, được xếp hạng 9,8 về mức độ nghiêm trọng trên hệ thống tính điểm CVSS và ảnh hưởng đến Máy chủ Apache HTTP phiên bản 2.4.52 trở về trước –

CVE-2022-22721 – Có thể xảy ra tràn bộ đệm với LimitXMLRequestBody rất lớn hoặc không giới hạn CVE-2022-23943 – Lỗ hổng ghi ngoài giới hạn trong mod_sed của Apache HTTP Server

Cả hai lỗ hổng bảo mật, cùng với CVE-2022-22719 và CVE-2022-22720, đã được những người bảo trì dự án khắc phục như một phần của phiên bản 2.4.53, được xuất xưởng vào ngày 14 tháng 3 năm 2022.

“Mặc dù CVE-2022-22719 và CVE-2022-22720 không ảnh hưởng đến các sản phẩm QNAP, CVE-2022-22721 ảnh hưởng đến các kiểu NAS QNAP 32-bit và CVE-2022-23943 ảnh hưởng đến những người dùng đã bật mod_sed trong Apache HTTP Server trên Thiết bị QNAP, “công ty Đài Loan cho biết trong một cảnh báo được công bố trong tuần này.

Trong trường hợp không có sẵn các bảo mật, QNAP đã đưa ra các giải pháp thay thế, bao gồm “giữ giá trị mặc định ‘1M’ cho LimitXMLRequestBody” và tắt mod_sed, thêm rằng tính năng mod_sed bị tắt theo mặc định trong Apache HTTP Server trên chạy QTS. hệ thống.

Xem tiếp:   Cảnh báo - Deadbolt Ransomware Nhắm mục tiêu Thiết bị NAS ASUSTOR

Lời khuyên được đưa ra gần một tháng sau khi tiết lộ rằng họ đang làm việc để giải quyết lỗ hổng vòng lặp vô hạn trong OpenSSL (CVE-2022-0778, điểm CVSS: 7,5) và phát hành các bản vá cho lỗ hổng Dirty Pipe Linux (CVE-2022-0847, điểm CVSS : 7.8).

.

Related Posts

Check Also

Tin tặc ngày càng sử dụng các khung tự động hóa của trình duyệt cho các hoạt động độc hại

Các nhà nghiên cứu an ninh mạng đang kêu gọi sự chú ý đến một …