якія карэктуюць выпускі пакета , які прадстаўляе web-інтэрфейс для сістэмы маніторынгу . У прапанаваных абнаўленнях ухілена крытычная (CVE-2020-24368), якая дазваляе неаўтэнтыфікаванаму атакаваламу атрымаць доступ да файлаў на серверы з прывілеямі працэсу Icinga Web (звычайна карыстач, пад якімі выконваецца http-сервер ці fpm).
Для паспяховага нападу патрабуецца наяўнасць аднаго з іншых модуляў, які пастаўляецца з выявамі або піктаграмамі. Сярод падобных модуляў адзначаюцца Icinga Business Process Modeling, Icinga Director,
Icinga Reporting, Maps Module і Globe Module. Самі па сабе ў дадзеных модулях няма ўразлівасцяў, але яны з'яўляюцца фактарамі, якія дазваляюць арганізаваць напад на Icinga Web.
Атака ажыццяўляецца праз адпраўку запытаў HTTP GET або POST да апрацоўшчыка, які выконвае аддачу малюнкаў, доступ да якога не патрабуе наяўнасці ўліковага запісу. Напрыклад, калі Icinga Web 2 даступны як "/icingaweb2" і ў сістэме маецца модуль businessprocess, усталяваны ў каталог /usr/share/icingaweb2/modules, для чытання змесціва файла /etc/os-release можна адправіць запыт "GET /icingaweb2/static /img?module_name=businessprocess&file=../../../../../../../etc/os-release».
Крыніца: opennet.ru