QNAPのNASプロダクトを使っている場合は注意が必要だ。QNAPが32ビットのQNAP NASモデルおよびmod_sedを有効にしているモデルに脆弱性が存在している恐れがあると指摘し、現在調査中だと報告した。近日中にセキュリティアップデートを公開するとしていることから、該当する可能性のあるプロダクトを利用している場合は事前にセキュリティアドバイザリを確認するとともに、セキュリティアップデートが提供された場合には迅速に適用することが望まれる。
QNAP Systemsは4月20日(米国時間)、「Multiple Vulnerabilities in Apache HTTP Server - Security Advisory|QNAP」において、QNAPのNASプロダクトがApache HTTP Serverの脆弱性の影響を受ける危険性があると伝えた。
Apache Software FoundationおよびApache HTTP ServerプロジェクトはApache HTTP Serverに複数の脆弱性が存在するとし、これらを修正したとするバージョン「Apache HTTP Server 2.4.53」を公開している。このバージョンで修正された脆弱性は次のとおり。
- CVE-2022-22719: moderate: mod_lua: Use of uninitialized value of in r:parsebody
- CVE-2022-22720: important: HTTP request smuggling vulnerability in Apache HTTP Server 2.4.52 and earlier
- CVE-2022-22721: low: core: Possible buffer overflow with very large or unlimited LimitXMLRequestBody
- CVE-2022-23943: important: mod_sed: Read/write beyond bounds
上記の脆弱性のうち、QNAPのプロダクトはCVE-2022-22721およびCVE-2022-23943が影響を受ける可能性があるとされている。CVE-2022-22721は32ビットのQNAP NASモデルが、CVE-2022-23943がApache HTTP Serverでmod_sedを有効化しているQNAPデバイスが影響を受けるとされている。
QNAPは現在これら脆弱性の影響について調査をしている段階にあり、可能な限り迅速にセキュリティアップデートの提供を行うと説明している。