փաթեթի ուղղիչ թողարկումներ , որն ապահովում է վեբ ինտերֆեյս մոնիտորինգի համակարգի համար . Առաջարկվող թարմացումները վերացնում են կրիտիկական (CVE-2020-24368), թույլ է տալիս չհաստատված հարձակվողին մուտք գործել սերվերի ֆայլեր Icinga Web գործընթացի արտոնություններով (սովորաբար այն օգտվողը, որի տակ աշխատում է http սերվերը կամ fpm-ը):
Հաջող հարձակումը պահանջում է երրորդ կողմի մոդուլներից մեկի առկայությունը, որը գալիս է պատկերներով կամ պատկերակներով: Այդպիսի մոդուլներից են Icinga Business Process Modeling, Icinga Director,
Icinga Reporting, Maps Module և Globe Module: Այս մոդուլներն իրենք չեն պարունակում խոցելիություններ, բայց դրանք գործոններ են, որոնք թույլ են տալիս հարձակում կազմակերպել Icinga Web-ի վրա։
Հարձակումն իրականացվում է՝ ուղարկելով HTTP GET կամ POST հարցումներ մշակողին, որը սպասարկում է պատկերներ, որոնց մուտքը հաշիվ չի պահանջում: Օրինակ, եթե Icinga Web 2-ը հասանելի է որպես «/icingaweb2», և համակարգը ունի բիզնես գործընթացի մոդուլ տեղադրված /usr/share/icingaweb2/modules գրացուցակում, կարող եք հարցում ուղարկել «GET /icingaweb2/static»՝ բովանդակությունը կարդալու համար: /etc/os-release ֆայլի /img?module_name=businessprocess&file=../../../../../../../etc/os-release»:
Source: opennet.ru