korrigerende udgivelser af pakken , som giver en webgrænseflade til overvågningssystemet . De foreslåede opdateringer eliminerer en kritisk (CVE-2020-24368), tillader en uautoriseret angriber at få adgang til filer på serveren med rettighederne fra Icinga Web-processen (normalt den bruger, som http-serveren eller fpm kører under).
Et vellykket angreb kræver tilstedeværelsen af et af de tredjepartsmoduler, der kommer med billeder eller ikoner. Blandt sådanne moduler er Icinga Business Process Modeling, Icinga Director,
Icinga-rapportering, kortmodul og globemodul. Disse moduler i sig selv indeholder ikke sårbarheder, men de er faktorer, der gør det muligt at organisere et angreb på Icinga Web.
Angrebet udføres ved at sende HTTP GET- eller POST-anmodninger til en behandler, der serverer billeder, hvortil adgang ikke kræver en konto. For eksempel, hvis Icinga Web 2 er tilgængelig som "/icingaweb2", og systemet har et forretningsprocesmodul installeret i mappen /usr/share/icingaweb2/modules, kan du sende en anmodning "GET /icingaweb2/static" for at læse indholdet af /etc/os-release-filen /img?module_name=businessprocess&file=../../../../../../../etc/os-release."
Kilde: opennet.ru