versions correctives du package , qui fournit une interface Web pour le système de surveillance . Les mises à jour proposées éliminent un problème critique (CVE-2020-24368), permet à un attaquant non authentifié d'accéder aux fichiers sur le serveur avec les privilèges du processus Icinga Web (généralement l'utilisateur sous lequel le serveur http ou fpm est exécuté).
Une attaque réussie nécessite la présence de l’un des modules tiers accompagnés d’images ou d’icônes. Parmi ces modules figurent Icinga Business Process Modeling, Icinga Director,
Rapports Icinga, module Cartes et module Globe. Ces modules eux-mêmes ne contiennent pas de vulnérabilités, mais ce sont des facteurs qui permettent d'organiser une attaque sur Icinga Web.
L'attaque est réalisée en envoyant des requêtes HTTP GET ou POST à un gestionnaire qui sert des images dont l'accès ne nécessite pas de compte. Par exemple, si Icinga Web 2 est disponible sous le nom « /icingaweb2 » et que le système dispose d'un module de processus métier installé dans le répertoire /usr/share/icingaweb2/modules, vous pouvez envoyer une requête « GET /icingaweb2/static » pour lire le contenu. du fichier /etc/os-release /img?module_name=businessprocess&file=../../../../../../../etc/os-release.
Source: opennet.ru