NAS 设备等制造商 QNAP 报告了一个尚未解决的安全漏洞。不过,这并不是一个严重的安全漏洞,QNAP 将其严重程度评为“中”。
最终,该漏洞存在于 QNAP 使用的 Apache HTTP Server 模块中。 Apache 软件基金会和 Apache HTTP Server 项目报告了多个安全漏洞,这些漏洞已在最新版本的 Apache HTTP Server 2.4.53 中修复。
CVE-2022-22719 和 CVE-2022-22720 中列出的漏洞不影响 QNAP 产品,但 CVE-2022-22721 影响 32 位 QNAP NAS 型号,CVE-2022-23943 影响 Apache HTTP 影响启用了 mod_sed 的用户QNAP 设备上的服务器。影响 QNAP 产品的两个安全漏洞已得到彻底调查,并将尽快发布安全更新。
为了缓解CVE-2022-22721 的影响,我们建议保留 LimitXMLRequestBody 的默认值 1M。为了缓解CVE-2022-23943 的影响,用户必须运行 mod_sed。禁用(注意:在 QTS 中,Apache HTTP Server 中默认禁用 mod_sed)。
