paketin düzəldici buraxılışları , monitorinq sistemi üçün veb interfeysi təmin edir . Təklif olunan yeniləmələr kritik bir vəziyyəti aradan qaldırır (CVE-2020-24368), naməlum təcavüzkarın Icinga Veb prosesinin (adətən http server və ya fpm-in işlədiyi istifadəçi) imtiyazları ilə serverdəki fayllara daxil olmaq imkanı verir.
Uğurlu hücum, şəkillər və ya nişanlar ilə gələn üçüncü tərəf modullarından birinin olmasını tələb edir. Belə modullar arasında Icinga Business Process Modeling, Icinga Director,
Icinga Reporting, Maps Module və Globe Modulu. Bu modulların özlərində zəifliklər yoxdur, lakin onlar Icinga Web-ə hücum təşkil etməyə imkan verən amillərdir.
Hücum, giriş üçün hesab tələb etməyən şəkillərə xidmət edən idarəçiyə HTTP GET və ya POST sorğuları göndərməklə həyata keçirilir. Məsələn, Icinga Web 2 “/icingaweb2” olaraq mövcuddursa və sistemin /usr/share/icingaweb2/modules kataloqunda quraşdırılmış biznes prosesi modulu varsa, məzmunu oxumaq üçün “GET /icingaweb2/static” sorğusu göndərə bilərsiniz. /etc/os-release faylının /img?module_name=businessprocess&file=../../../../../../../etc/os-release.”
Mənbə: opennet.ru