pakotnes koriģējošie izlaidumi , kas nodrošina uzraudzības sistēmas tīmekļa saskarni . Ierosinātie atjauninājumi novērš kritisku (CVE-2020-24368), ļauj neautentificētam uzbrucējam piekļūt failiem serverī ar Icinga Web procesa privilēģijām (parasti lietotājam, ar kuru darbojas http serveris vai fpm).
Veiksmīgam uzbrukumam ir nepieciešams kāds no trešās puses moduļiem, kas tiek piegādāti kopā ar attēliem vai ikonām. Starp šādiem moduļiem ir Icinga Business Process Modeling, Icinga direktors,
Icinga Reporting, Maps Module un Globe Module. Šie moduļi paši par sevi nesatur ievainojamības, taču tie ir faktori, kas ļauj organizēt uzbrukumu Icinga Web.
Uzbrukums tiek veikts, nosūtot HTTP GET vai POST pieprasījumus apstrādātājam, kas apkalpo attēlus, kuriem piekļuvei nav nepieciešams konts. Piemēram, ja Icinga Web 2 ir pieejams kā “/icingaweb2” un sistēmā /usr/share/icingaweb2/modules direktorijā ir instalēts biznesa procesa modulis, varat nosūtīt pieprasījumu “GET /icingaweb2/static”, lai lasītu saturu. no /etc/os-release faila /img?module_name=businessprocess&file=../../../../../../../etc/os-release.
Avots: opennet.ru