အထုပ်၏ မှန်ကန်သော ထုတ်ဝေမှုများ စောင့်ကြည့်ရေးစနစ်အတွက် ဝဘ်အင်တာဖေ့စ်ကို ပံ့ပိုးပေးသော၊ . အဆိုပြုထားသော မွမ်းမံမှုများသည် ဝေဖန်ထောက်ပြစရာရှိတာတွေကို ဖယ်ရှားပေးသည်။ (CVE-2020-24368)၊ အထောက်အထားမရှိသော တိုက်ခိုက်သူအား Icinga ဝဘ်လုပ်ငန်းစဉ်၏ အခွင့်ထူးများဖြင့် ဆာဗာပေါ်ရှိ ဖိုင်များကို ဝင်ရောက်ကြည့်ရှုနိုင်သည် (ပုံမှန်အားဖြင့် http server သို့မဟုတ် fpm အောက်တွင် အသုံးပြုသူ)။
အောင်မြင်သောတိုက်ခိုက်မှုတစ်ခုသည် ရုပ်ပုံများ သို့မဟုတ် အိုင်ကွန်များပါရှိသည့် ပြင်ပမှ module တစ်ခုရှိရန် လိုအပ်သည်။ ထိုကဲ့သို့သော သင်ခန်းစာများထဲတွင် Icinga Business Process Modeling၊ Icinga Director၊
Icinga အစီရင်ခံခြင်း၊ Maps Module နှင့် Globe Module။ ဤ module များတွင် ၎င်းတို့ကိုယ်တိုင် အားနည်းချက်များ မပါဝင်သော်လည်း ၎င်းတို့သည် Icinga Web တွင် တိုက်ခိုက်မှုကို စီစဉ်ခွင့်ပြုသည့် အကြောင်းရင်းများဖြစ်သည်။
တိုက်ခိုက်မှုသည် အကောင့်မလိုအပ်သော ပုံများကို ဝန်ဆောင်မှုပေးသည့် ကိုင်တွယ်သူထံ HTTP GET သို့မဟုတ် POST တောင်းဆိုချက်များကို ပေးပို့ခြင်းဖြင့် တိုက်ခိုက်ခြင်းအား လုပ်ဆောင်သည်။ ဥပမာအားဖြင့်၊ Icinga Web 2 ကို “/icingaweb2” အဖြစ် ရရှိနိုင်ပြီး စနစ်တွင် /usr/share/icingaweb2/modules directory တွင် ထည့်သွင်းထားသော လုပ်ငန်းဆောင်ရွက်ချက် မော်ဂျူးရှိပါက၊ အကြောင်းအရာများကို ဖတ်ရန် “GET /icingaweb2/static” တောင်းဆိုချက် ပေးပို့နိုင်ပါသည်။ /etc/os-release ဖိုင်၏ /img?module_name=businessprocess&file=../../../../../../../etc/os-release"
source: opennet.ru