Der Hersteller von NAS-Geräten (Network-Attached Storage) QNAP erklärte am Donnerstag, dass er sein Sortiment auf mögliche Auswirkungen von zwei Sicherheitslücken untersucht, die im letzten Monat im Apache HTTP-Server geschlossen wurden.
Die kritischen Schwachstellen mit den Bezeichnungen CVE-2022-22721 und CVE-2022-23943 werden im CVSS-Scoring-System mit einem Schweregrad von 9,8 bewertet und betreffen die Apache HTTP Server Versionen 2.4.52 und früher.
CVE-2022-22721 – Möglicher Pufferüberlauf bei sehr großem oder unbegrenztem LimitXMLRequestBody
CVE-2022-23943 – Out-of-bounds Write-Schwachstelle in mod_sed des Apache HTTP Servers
Die beiden Schwachstellen wurden zusammen mit CVE-2022-22719 und CVE-2022-22720 von den Projektbetreuern in der Version 2.4.53 behoben, die am 14. März 2022 ausgeliefert wurde.
„Während CVE-2022-22719 und CVE-2022-22720 keine QNAP-Produkte betreffen, betrifft CVE-2022-22721 32-Bit-QNAP-NAS-Modelle und CVE-2022-23943 Nutzer, die mod_sed in Apache HTTP Server auf ihrem QNAP-Gerät aktiviert haben“, so das taiwanesische Unternehmen in einem diese Woche veröffentlichten Alert.
In Ermangelung verfügbarer Sicherheitsupdates bietet QNAP Umgehungslösungen an, darunter „die Beibehaltung des Standardwerts ‚1M‘ für LimitXMLRequestBody“ und die Deaktivierung von mod_sed. Das Unternehmen fügt hinzu, dass die mod_sed-Funktion in Apache HTTP Server auf NAS-Geräten mit dem QTS-Betriebssystem standardmäßig deaktiviert ist.
Der Hinweis kommt fast einen Monat nachdem das Unternehmen bekannt gegeben hat, dass es an der Behebung einer Endlosschleife in OpenSSL (CVE-2022-0778, CVSS-Score: 7.5) arbeitet und Patches für die Dirty Pipe Linux-Schwachstelle (CVE-2022-0847, CVSS-Score: 7.8) veröffentlicht hat.