Network-attached storage (NAS) appliance maker QNAP zei donderdag dat het de line-up onderzoekt op mogelijke impact als gevolg van twee beveiligingsproblemen die vorige maand zijn verholpen in de Apache HTTP-server.
De kritieke gebreken, bijgehouden als CVE-2022-22721 en CVE-2022-23943krijgen een 9,8 voor ernst op het CVSS-scoresysteem en hebben invloed op Apache HTTP Server-versies 2.4.52 en eerder –
- CVE-2022-22721 – Mogelijke bufferoverloop met zeer grote of onbeperkte LimitXMLRequestBody
- CVE-2022-23943 – Out-of-bounds Write-kwetsbaarheid in mod_sed van Apache HTTP Server
Beide kwetsbaarheden, naast CVE-2022-22719 en CVE-2022-22720, werden verholpen door de projectbeheerders als onderdeel van versie 2.4.53die op 14 maart 2022 is verzonden.
“Hoewel CVE-2022-22719 en CVE-2022-22720 geen invloed hebben op QNAP-producten, heeft CVE-2022-22721 invloed op 32-bit QNAP NAS-modellen en heeft CVE-2022-23943 invloed op gebruikers die mod_sed hebben ingeschakeld in Apache HTTP Server op hun QNAP-apparaat”, het Taiwanese bedrijf zei in een waarschuwing die deze week is gepubliceerd.
Bij gebrek aan direct beschikbare beveiligingsupdates heeft QNAP oplossingen aangeboden, waaronder “de standaardwaarde ‘1M’ voor LimitXMLRequestBody behouden” en mod_sed uitschakelen, eraan toevoegend dat de mod_sed-functie standaard is uitgeschakeld in Apache HTTP Server op NAS-apparaten met de QTS-besturing systeem.
Het advies komt bijna een maand nadat bekend werd gemaakt dat het werkt aan het oplossen van een oneindige lus-kwetsbaarheid in OpenSSL (CVE-2022-0778, CVSS-score: 7,5) en patches uitbracht voor de Dirty Pipe Linux-fout (CVE-2022-0847, CVSS-score : 7.8).
