korekciniai paketo išleidimai , kuri suteikia stebėjimo sistemos žiniatinklio sąsają . Siūlomi atnaujinimai pašalina kritinį (CVE-2020-24368), leidžia neautentifikuotam užpuolikui pasiekti serveryje esančius failus, turinčius „Icinga Web“ proceso privilegijas (dažniausiai vartotojui, kuriam veikia http serveris arba fpm).
Sėkmingai atakai reikalingas vienas iš trečiosios šalies modulių, pateikiamų su vaizdais ar piktogramomis. Tarp tokių modulių yra „Icinga Business Process Modeling“, „Icinga“ direktorius,
Icinga ataskaitų teikimas, žemėlapių modulis ir gaublio modulis. Šiuose moduliuose nėra pažeidžiamumų, tačiau jie yra veiksniai, leidžiantys organizuoti ataką prieš Icinga Web.
Ataka vykdoma siunčiant HTTP GET arba POST užklausas vaizdus aptarnaujančiam tvarkytojui, prie kurio pasiekti nereikia paskyros. Pavyzdžiui, jei „Icinga Web 2“ yra „/icingaweb2“, o sistemoje /usr/share/icingaweb2/modules kataloge yra įdiegtas verslo procesų modulis, galite nusiųsti užklausą „GET /icingaweb2/static“, kad perskaitytumėte turinį. /etc/os-release failo /img?module_name=businessprocess&file=../../../../../../../etc/os-release.
Šaltinis: opennet.ru
