QNAP固件更新修复其NAS中的Apache HTTP漏洞

最后更新 :2022.04.22

台湾供应商Qnap警告用户上个月更新他们的NAS固件来修复Apache HTTP服务器中寻址的Apache HTTP漏洞。

台湾供应商QNAP警告用户更新他们的NAS固件以解决Apache HTTP漏洞,跟踪作为CVE-2022-22721和CVE-2022-23943,在3月份在Apache HTTP服务器中寻址。

虽然CVE-20222-22719和CVE-2022-22720不影响QNAP产品,但CVE-20222-22721影响了32位QNAP NAS模型,而CVE-2022-23943影响了在Apache HTTP服务器中启用Mod_sed的用户在他们的Qnap设备上。读取供应商发布的咨询。

缺陷是LimitXmlRequestBody中可能的缓冲区溢出,以及Apache HTTP的Mod_sed中的缺少漏洞。这两个漏洞都收到了9.8的CVSS严重性得分,并影响Apache HTTP服务器版本2.4.52及更早版本。Apache基金会在3月2022日发布了版本的问题2.4.53。

以下是ChangeLog中报告的两个问题的描述:

CVE-2022-22721如果设置了LimitXMLRequestBody,则具有非常大或无限的LimitXmlRequestBody(CVE.Mitre.org)可能的缓冲区溢出要在32位系统上允许大于350MB的请求主体(默认为1米),因此稍后导致界限写入的整数溢出。此问题会影响Apache HTTP Server 2.4.52及更早版本。学分:匿名使用趋势微零点.CVE-2022-23943读/写超越界限(CVE.mitre.org)Apache HTTP服务器Mod_sed中的缺失写漏洞允许攻击者覆盖堆内存可能会覆盖堆内存攻击者提供了数据。此问题会影响Apache HTTP Server 2.4版本2.4.52和先前版本。积分:罗纳德起重机(Zippenhop LLC)。

该公司还建议通过保留CVE-20222-22721来保留默认值1M for LimitXmlRequestBody,而CVE-2022-23943可以通过禁用Mod_来减轻(非商业)安全博客和Tech Whiz最好的技术博客和您选择的其他人。

提名,请访问:

https://docs.google.com/borms/d/e/1faipqlsfxxriscimz9qm9iipumqic-IOM-NPQMOSFZNJXRBQRYJGCOW / ViewForm

- END -

看更多