Le fabricant d’appareils de stockage en réseau (NAS) QNAP a déclaré jeudi qu’il enquêtait sur sa gamme pour un impact potentiel résultant de deux vulnérabilités de sécurité qui ont été corrigées dans le serveur HTTP Apache le mois dernier.
Les défauts critiques, suivis comme CVE-2022-22721 et CVE-2022-23943sont notés 9,8 pour la gravité sur le système de notation CVSS et ont un impact sur les versions 2.4.52 et antérieures du serveur HTTP Apache –
- CVE-2022-22721 – Débordement de tampon possible avec LimitXMLRequestBody très grand ou illimité
- CVE-2022-23943 – Vulnérabilité d’écriture hors limites dans mod_sed d’Apache HTTP Server
Les deux vulnérabilités, aux côtés de CVE-2022-22719 et CVE-2022-22720, ont été corrigées par les mainteneurs du projet dans le cadre de version 2.4.53qui a été expédié le 14 mars 2022.
« Alors que CVE-2022-22719 et CVE-2022-22720 n’affectent pas les produits QNAP, CVE-2022-22721 affecte les modèles de NAS QNAP 32 bits et CVE-2022-23943 affecte les utilisateurs qui ont activé mod_sed dans Apache HTTP Server sur leur appareil QNAP », la société taïwanaise mentionné dans une alerte publiée cette semaine.
En l’absence de mises à jour de sécurité facilement disponibles, QNAP a proposé des solutions de contournement, notamment « conserver la valeur par défaut « 1M » pour LimitXMLRequestBody » et désactiver mod_sed, ajoutant que la fonctionnalité mod_sed est désactivée par défaut dans Apache HTTP Server sur les appareils NAS exécutant QTS. système.
L’avis intervient près d’un mois après avoir révélé qu’il travaillait à résoudre une vulnérabilité de boucle infinie dans OpenSSL (CVE-2022-0778, score CVSS : 7,5) et publié des correctifs pour la faille Dirty Pipe Linux (CVE-2022-0847, score CVSS : 7.8).