wydania korygujące pakietu , który udostępnia interfejs sieciowy dla systemu monitorowania . Proponowane aktualizacje eliminują błąd krytyczny (CVE-2020-24368), umożliwia nieuwierzytelnionemu atakującemu dostęp do plików na serwerze z uprawnieniami procesu Icinga Web (zwykle jest to użytkownik, pod którym działa serwer http lub fpm).
Skuteczny atak wymaga obecności jednego z modułów strony trzeciej, który zawiera obrazy lub ikony. Wśród takich modułów znajdują się Icinga Business Process Modeling, Icinga Director,
Raportowanie Icinga, moduł map i moduł globusów. Moduły te same w sobie nie zawierają luk, ale są czynnikami umożliwiającymi zorganizowanie ataku na Icinga Web.
Atak odbywa się poprzez wysłanie żądań HTTP GET lub POST do handlera obsługującego obrazy, do których dostęp nie wymaga posiadania konta. Na przykład, jeśli Icinga Web 2 jest dostępny jako „/icingaweb2”, a system ma zainstalowany moduł procesów biznesowych w katalogu /usr/share/icingaweb2/modules, możesz wysłać żądanie „GET /icingaweb2/static” w celu odczytania zawartości pliku /etc/os-release /img?module_name=businessprocess&file=../../../../../../../etc/os-release.”
Źródło: opennet.ru