rilis korektif saka paket , sing nyedhiyakake antarmuka web kanggo sistem ngawasi . Pembaruan sing diusulake ngilangi kritis (CVE-2020-24368), ngidini panyerang ora sah kanggo ngakses file ing server kanthi hak istimewa proses Icinga Web (biasane pangguna ing ngendi server http utawa fpm lagi mlaku).
Serangan sing sukses mbutuhake ananΓ© salah sawijining modul pihak katelu sing dilengkapi gambar utawa lambang. Antarane modul kasebut yaiku Pemodelan Proses Bisnis Icinga, Direktur Icinga,
Laporan Icinga, Modul Peta lan Modul Globe. Modul kasebut dhewe ora ngemot kerentanan, nanging minangka faktor sing ngidini ngatur serangan ing Icinga Web.
Serangan kasebut ditindakake kanthi ngirim panjaluk HTTP GET utawa POST menyang pawang sing nglayani gambar, akses sing ora mbutuhake akun. Contone, yen Icinga Web 2 kasedhiya minangka "/icingaweb2" lan sistem wis diinstal modul businessprocess ing direktori / usr / share / icingaweb2 / modul, sampeyan bisa ngirim panjalukan "GET / icingaweb2 / statis" kanggo maca isi. saka /etc/os-release file /img?module_name=businessprocess&file=../../../../../../../etc/os-release.
Source: opennet.ru