Ağa bağlı depolama (NAS) cihazı üreticisi QNAP Perşembe günü yaptığı açıklamada, geçen ay Apache HTTP sunucusunda ele alınan iki güvenlik açığından kaynaklanan potansiyel etkiyi araştırdığını söyledi.
Takip edilen kritik kusurlar CVE-2022-22721 ve CVE-2022-23943CVSS puanlama sisteminde önem derecesi açısından 9.8 olarak derecelendirilmiştir ve Apache HTTP Sunucusu 2.4.52 ve önceki sürümlerini etkiler –
- CVE-2022-22721 – Çok büyük veya sınırsız LimitXMLRequestBody ile olası arabellek taşması
- CVE-2022-23943 – Apache HTTP Sunucusunun mod_sed’inde sınır dışı Yazma güvenlik açığı
CVE-2022-22719 ve CVE-2022-22720 ile birlikte her iki güvenlik açığı da, sürüm 2.4.5314 Mart 2022’de sevk edildi.
“CVE-2022-22719 ve CVE-2022-22720, QNAP ürünlerini etkilemezken, CVE-2022-22721, 32-bit QNAP NAS modellerini etkiler ve CVE-2022-23943, kendi cihazlarında Apache HTTP Sunucusunda mod_sed’i etkinleştirmiş olan kullanıcıları etkiler. QNAP cihazı,” Tayvanlı şirket dedim Bu hafta yayınlanan bir uyarıda.
Hazır güvenlik güncellemelerinin yokluğunda, QNAP, “LimitXMLRequestBody için varsayılan değeri ‘1M’ tutmak” ve mod_sed’i devre dışı bırakmak dahil olmak üzere geçici çözümler sunmuş ve mod_sed özelliğinin QTS işletimini çalıştıran NAS cihazlarındaki Apache HTTP Sunucusunda varsayılan olarak devre dışı bırakıldığını eklemiştir. sistem.
Öneri, OpenSSL’deki (CVE-2022-0778, CVSS puanı: 7.5) sonsuz döngü güvenlik açığını çözmek için çalıştığını açıkladıktan ve Dirty Pipe Linux hatası (CVE-2022-0847, CVSS puanı) için yamaları yayınladıktan yaklaşık bir ay sonra geldi. : 7.8).