QNAP meldet Schwachstellen im Apache HTTP Server einiger Geräte

QNAP, unter anderem Hersteller von NAS-Geräten, hat eine Sicherheitslücke kommuniziert, die derzeit noch nicht geschlossen ist. Es handelt sich dabei allerdings nicht um eine kritische Sicherheitslücke, sie wird mit dem Schweregrad „Mittel“ durch QNAP bewertet.

Letzten Endes liegt die Lücke im vom QNAP verwendeten Modul des Apache HTTP Server. Die Apache Software Foundation und das Apache HTTP Server Project hatten mehrere Sicherheitslücken kommuniziert, die in der neuesten Version des Apache HTTP Server 2.4.53 behoben wurden.

Während die unter CVE-2022-22719 und CVE-2022-22720 gelisteten Schwachstellen keine QNAP-Produkte betreffen, wirkt sich CVE-2022-22721 auf 32-Bit-QNAP-NAS-Modelle aus, und CVE-2022-23943 betrifft Benutzer, die mod_sed in Apache HTTP Server auf ihrem QNAP-Gerät aktiviert haben. Man untersuche die beiden Sicherheitslücken, die QNAP-Produkte betreffen, gründlich und werde so bald wie möglich Sicherheitsupdates veröffentlichen.

Um CVE-2022-22721 zu entschärfen, empfehle man, den Standardwert „1M“ für LimitXMLRequestBody beizubehalten. Um CVE-2022-23943 abzuschwächen, sollten Nutzer mod_sed. deaktivieren (Hinweis: In QTS ist mod_sed im Apache HTTP Server standardmäßig deaktiviert).

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

7 Kommentare

  1. Hmm.. also ich hab mal die Schwachstellen Meldungen (hier) zwischen Synology und Qnap verglichen. Für Qnap gibts hier wesentlich öfter Meldungen (und fällt daher eher negativ(?) auf). Woran liegt das? Meldet Synology einfach weniger? Ist Qnap mehr von Sicherheitslücken betroffen? Oder haben die Autoren hier mehr Augenmerk auf Qnap? Letzteres glaube ich eigentlich nicht, weil die Gesamtzahl der Blogeinträge relativ ausgeglichen zu sein scheint…

    • Pauschal wird das wohl schwierig zu beantworten sein.

      Hersteller A kann eine SA rausgeben für eine Funktion die Hersteller B gar nicht implementiert hat.
      Hersteller B kann evtl. auch das ‚kaputt konfigurieren‘ der entsprechenden Funktion durch den User verhindern, während dies bei Hersteller A ein ‚Feature‘ darstellt.
      Bei populären Komponenten wie Apache, Log4j u.a. kommt es natürlich auch immer auf die ausgelieferten / unterstützen Versionen an.

      Die Listen der SAs kann man sich auf den jeweiligen Webseiten anschauen.
      Ein rein quantitativer Vergleich ist aber wahrscheinlich auch nicht zielführend.

    • Burattinos NASe says:

      Kuckst du hier:

      https://www.cvedetails.com/vendor/11138/Synology.html
      https://www.cvedetails.com/vendor/10080/Qnap.html

      Wenn man der Auswertung Glauben schenken darf, hat über den dort gesamt erfassten Zeitraum Synology bei weniger Produkten mehr Lücken als QNAP. o.O

      Betrachtet man nur das laufende und letzte Jahr halten sich beide ungefähr die Waage.

      Was leider nicht daraus hervorgeht ist wie schnell und wie gut auf diese Lücken reagiert wird.

      • Danke sehr! Die Links sind hilfreich!

        • Die Liste stimmt aber leider nicht, bzw. ist sie bei QNAP nicht aktuell. 2022 sollen die zuletzt im Februar eine CVE habe. Ich nutze die Seite unter anderem auch. Sowohl Syno als auch QNAP kommunizieren beide, QNAP aber besser. Deswegen nenne ich es gerne, da wir Nutzer oft auch Abhilfe mitgeben können, wenn QNAP die Tipps zur Abschwächung rausgibt. Das ist positiv, nicht negativ.

          https://www.qnap.com/de-de/security-advisories?ref=security_advisory_details
          https://www.synology.com/de-de/security/advisory

          • Danke dir.

            Das mit der Kommunikation ist halt ein zweischneidiges Schwert. Ja, offen mit Sicherheitslücken umgehen und kommunizieren ist eine gute Sache. Punkt.
            Trotzdem hat es durchaus einen Effekt wenn ein Unternehmen sehr viel öfter Sicherheitslücken meldet als ein direkter Konkurrent. Ist halt eine Frage der Wahrnehmung.
            Ich bin mir nicht sicher ob „das Unternehmen hat letztes Jahr die meisten Sicherheitslücken gemeldet“ ein guter Werbeslogan wäre 😉
            Auf jeden Fall lohnt sich immer ein zweiter, genauerer Blick wenn man solche Vergleiche anstellt (z.B. bei einer Kaufentscheidung).
            Rein theoretisch könnte es ja auch sein das Firma X ziemlich nachlässig war und nun mit den fixen der Lücken kaum hinterkommt…mal überspitzt gesagt.

    • Das war mir letztes Jahr auch schon mal aufgefallen:
      https://stadt-bremerhaven.de/qnap-schliesst-luecken-im-qcenter-und-qulog-center/#comment-1254130
      Caschy hatte im Thread ja auch geantwortet, dass er QNAP und Synology einsetzt, einseitiges Interesse wird es also nicht sein. Wahrscheinlich kommuniziert QNAP nur besser.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.