korrigerende utgivelser av pakken , som gir et webgrensesnitt for overvåkingssystemet . De foreslåtte oppdateringene eliminerer en kritisk (CVE-2020-24368), lar en uautentisert angriper få tilgang til filer på serveren med rettighetene til Icinga Web-prosessen (vanligvis brukeren som http-serveren eller fpm kjører under).
Et vellykket angrep krever tilstedeværelse av en av tredjepartsmodulene som følger med bilder eller ikoner. Blant slike moduler er Icinga Business Process Modeling, Icinga Director,
Icinga Reporting, Maps Module og Globe Module. Disse modulene i seg selv inneholder ikke sårbarheter, men de er faktorer som gjør det mulig å organisere et angrep på Icinga Web.
Angrepet utføres ved å sende HTTP GET- eller POST-forespørsler til en behandler som serverer bilder, som ikke krever en konto tilgang til. For eksempel, hvis Icinga Web 2 er tilgjengelig som "/icingaweb2" og systemet har en forretningsprosessmodul installert i katalogen /usr/share/icingaweb2/modules, kan du sende en forespørsel "GET /icingaweb2/static" for å lese innholdet av /etc/os-release-filen /img?module_name=businessprocess&file=../../../../../../../etc/os-release."
Kilde: opennet.ru