corrigerende releases van het pakket , dat een webinterface biedt voor het monitoringsysteem . De voorgestelde updates elimineren een kritieke (CVE-2020-24368), geeft een niet-geverifieerde aanvaller toegang tot bestanden op de server met de rechten van het Icinga-webproces (meestal de gebruiker waaronder de http-server of fpm draait).
Voor een succesvolle aanval is de aanwezigheid van een van de modules van derden vereist, die wordt geleverd met afbeeldingen of pictogrammen. Tot dergelijke modules behoren Icinga Business Process Modeling, Icinga Director,
Icinga-rapportage, kaartenmodule en globe-module. Deze modules bevatten zelf geen kwetsbaarheden, maar zijn factoren die het mogelijk maken een aanval op Icinga Web te organiseren.
De aanval wordt uitgevoerd door HTTP GET- of POST-verzoeken te verzenden naar een handler die afbeeldingen aanbiedt, waarvoor geen account vereist is. Als Icinga Web 2 bijvoorbeeld beschikbaar is als “/icingaweb2” en op het systeem is een bedrijfsprocesmodule geïnstalleerd in de map /usr/share/icingaweb2/modules, kunt u een verzoek sturen “GET /icingaweb2/static” om de inhoud te lezen van het bestand /etc/os-release /img?module_name=businessprocess&file=../../../../../../../etc/os-release.”
Bron: opennet.ru