QNAP aconseja a los usuarios que actualicen el firmware del NAS para parchear las vulnerabilidades HTTP de Apache

El fabricante de dispositivos de almacenamiento conectado a la red (NAS) QNAP dijo el jueves que está investigando su línea por el impacto potencial que surge de dos vulnerabilidades de seguridad que se abordaron en el servidor Apache HTTP el mes pasado.

Las fallas críticas, rastreadas como CVE-2022-22721 y CVE-2022-23943 , tienen una gravedad de 9.8 en el sistema de puntuación CVSS e impactan las versiones 2.4.52 y anteriores del servidor HTTP Apache:

  • CVE-2022-22721 : posible desbordamiento de búfer con LimitXMLRequestBody muy grande o ilimitado
  • CVE-2022-23943 : vulnerabilidad de escritura fuera de los límites en mod_sed del servidor Apache HTTP

Ambas vulnerabilidades, junto con CVE-2022-22719 y CVE-2022-22720, fueron reparadas por los mantenedores del proyecto como parte de la versión 2.4.53 , que se envió el 14 de marzo de 2022.

"Si bien CVE-2022-22719 y CVE-2022-22720 no afectan a los productos QNAP, CVE-2022-22721 afecta a los modelos QNAP NAS de 32 bits y CVE-2022-23943 afecta a los usuarios que han habilitado mod_sed en Apache HTTP Server en su dispositivo QNAP”, dijo la compañía taiwanesa en una alerta publicada esta semana.

En ausencia de actualizaciones de seguridad fácilmente disponibles, QNAP ha ofrecido soluciones alternativas, que incluyen "mantener el valor predeterminado '1M' para LimitXMLRequestBody" y deshabilitar mod_sed, agregando que la función mod_sed está deshabilitada de manera predeterminada en Apache HTTP Server en dispositivos NAS que ejecutan el sistema operativo QTS. sistema.

El aviso llega casi un mes después de que revelara que está trabajando para resolver una vulnerabilidad de bucle infinito en OpenSSL ( CVE-2022-0778 , puntaje CVSS: 7.5) y lanzó parches para la falla de Dirty Pipe Linux ( CVE-2022-0847 , puntaje CVSS : 7.8).

 

Fuente: Thehackernews.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies