【軟硬體漏洞資訊】
🕳🕳🕳Apache HTTP 伺服器漏洞揭露,QNAP 要求 NAS 用戶採取行動,避免可能衝擊🔧🔧🔧
台灣專業網路儲存設備廠 QNAP(威聯通),日前發表資安通報,要求該品牌網路儲存裝置(Network Attached Storage, NAS)產品用戶,立即針對一組嚴重 Apache HTTP 伺服器漏洞採取行動,檢查裝置內的相關設定值,以避免駭侵者利用該批漏洞發動攻擊。
通報指出,如果用戶保持原出廠設定值,QNAP NAS 並不受弱點影響。有兩個嚴重漏洞 CVE-2022-22721 與 CVE-2022-23943,存於 Apache HTTP server 2.4.52 與先前版本內;據 NVD 資安專家分析指出,駭侵者可以利用這兩個漏洞,以相當簡單的方式發動攻擊,且用戶難以查覺。
這兩個漏洞的 CVSS 危險程度評分為 9.8 分(滿分為 10 分),危險程度評級為「嚴重」(critical)等級;且目前 QNAP 尚未推出正式的修補更新;不過在資安通報中,QNAP 提供了暫時解決方案。該通報建議用戶進行下列操作:
- 將 LimitXMLReuerstBody 參數保持預設值「1M」,以對應 CVE-2022-22721 漏洞;
- 停用 mod_sed 功能,以對應 CVE-2022-23943 漏洞。
詳細資訊請參考:https://www.twcert.org.tw/tw/cp-104-6072-bac2d-1.html
沒有留言:
張貼留言