Le fabricant d’appareils de stockage en réseau (NAS) QNAP a déclaré jeudi qu’il enquêtait sur sa gamme pour un impact potentiel résultant de deux vulnérabilités de sécurité qui ont été corrigées dans le serveur HTTP Apache le mois dernier.
Les failles critiques, suivies comme CVE-2022-22721 et CVE-2022-23943, sont notées 9,8 pour la gravité sur le système de notation CVSS et ont un impact sur les versions 2.4.52 et antérieures du serveur HTTP Apache –
CVE-2022-22721 – Débordement de tampon possible avec LimitXMLRequestBody très grand ou illimité
CVE-2022-23943 – Vulnérabilité d’écriture hors limites dans mod_sed d’Apache HTTP Server
Les deux vulnérabilités, ainsi que CVE-2022-22719 et CVE-2022-22720, ont été corrigées par les responsables du projet dans le cadre de la version 2.4.53, qui a été livrée le 14 mars 2022.
« Alors que CVE-2022-22719 et CVE-2022-22720 n’affectent pas les produits QNAP, CVE-2022-22721 affecte les modèles de NAS QNAP 32 bits et CVE-2022-23943 affecte les utilisateurs qui ont activé mod_sed dans Apache HTTP Server sur leur appareil QNAP », a déclaré la société taïwanaise dans une alerte publiée cette semaine.
En l’absence de mises à jour de sécurité facilement disponibles, QNAP a proposé des solutions de contournement, notamment « conserver la valeur par défaut « 1M » pour LimitXMLRequestBody » et désactiver mod_sed, ajoutant que la fonctionnalité mod_sed est désactivée par défaut dans Apache HTTP Server sur les appareils NAS exécutant QTS. système.
L’avis intervient près d’un mois après avoir révélé qu’il travaillait à résoudre une vulnérabilité de boucle infinie dans OpenSSL (CVE-2022-0778, score CVSS : 7,5) et publié des correctifs pour la faille Dirty Pipe Linux (CVE-2022-0847, score CVSS : 7.8).