regstellende vrystellings van die pakket , wat 'n webkoppelvlak vir die moniteringstelsel bied . Die voorgestelde opdaterings skakel 'n kritieke uit (CVE-2020-24368), laat 'n ongeverifieerde aanvaller toegang tot lêers op die bediener met die voorregte van die Icinga Web-proses (gewoonlik die gebruiker waaronder die http-bediener of fpm loop).
'n Suksesvolle aanval vereis die teenwoordigheid van een van die derdeparty-modules wat met beelde of ikone kom. Onder sulke modules is Icinga Business Process Modeling, Icinga Direkteur,
Icinga-verslaggewing, kaartmodule en aardbolmodule. Hierdie modules self bevat nie kwesbaarhede nie, maar dit is faktore wat dit moontlik maak om 'n aanval op Icinga Web te organiseer.
Die aanval word uitgevoer deur HTTP GET- of POST-versoeke te stuur aan 'n hanteerder wat beelde bedien, waartoe toegang nie 'n rekening vereis nie. Byvoorbeeld, as Icinga Web 2 beskikbaar is as "/icingaweb2" en die stelsel het 'n besigheidsprosesmodule geïnstalleer in die /usr/share/icingaweb2/modules gids, kan jy 'n versoek "GET /icingaweb2/static" stuur om die inhoud te lees van die /etc/os-release-lêer /img?module_name=businessprocess&file=../../../../../../../etc/os-release."
Bron: opennet.ru