الإصدارات التصحيحية للحزمة ، والذي يوفر واجهة ويب لنظام المراقبة . التحديثات المقترحة تقضي على مشكلة حرجة (CVE-2020-24368)، يسمح لمهاجم غير مصادق بالوصول إلى الملفات الموجودة على الخادم بامتيازات عملية Icinga Web (عادةً المستخدم الذي يعمل من خلاله خادم http أو fpm).
يتطلب الهجوم الناجح وجود إحدى وحدات الطرف الثالث التي تأتي مع الصور أو الرموز. ومن بين هذه الوحدات Icinga Business Process Modeling، مدير Icinga،
تقارير Icinga ووحدة الخرائط ووحدة الكرة الأرضية. هذه الوحدات بحد ذاتها لا تحتوي على نقاط ضعف، ولكنها عوامل تسمح بتنظيم هجوم على Icinga Web.
يتم تنفيذ الهجوم عن طريق إرسال طلبات HTTP GET أو POST إلى معالج يخدم الصور، ولا يتطلب الوصول إليها حسابًا. على سبيل المثال، إذا كان Icinga Web 2 متاحًا باسم "/icingaweb2" وكان النظام يحتوي على وحدة عمليات أعمال مثبتة في الدليل /usr/share/icingaweb2/modules، فيمكنك إرسال طلب "GET /icingaweb2/static" لقراءة المحتويات من ملف /etc/os-release /img?module_name=businessprocess&file=../../../../../../../etc/os-release."
المصدر: opennet.ru