korrigerande utgåvor av paketet , som tillhandahåller ett webbgränssnitt för övervakningssystemet . De föreslagna uppdateringarna eliminerar en kritisk (CVE-2020-24368), tillåter en oautentiserad angripare att komma åt filer på servern med privilegierna för Icinga Web-processen (vanligtvis den användare under vilken http-servern eller fpm körs).
En framgångsrik attack kräver närvaron av en av tredjepartsmodulerna som kommer med bilder eller ikoner. Bland sådana moduler finns Icinga Business Process Modeling, Icinga Director,
Icinga Reporting, Maps Module och Globe Module. Dessa moduler i sig innehåller inga sårbarheter, men de är faktorer som gör det möjligt att organisera en attack på Icinga Web.
Attacken utförs genom att skicka HTTP GET- eller POST-förfrågningar till en hanterare som serverar bilder, vars åtkomst inte kräver ett konto. Till exempel, om Icinga Web 2 är tillgänglig som "/icingaweb2" och systemet har en affärsprocessmodul installerad i katalogen /usr/share/icingaweb2/modules, kan du skicka en begäran "GET /icingaweb2/static" för att läsa innehållet av /etc/os-release-filen /img?module_name=businessprocess&file=../../../../../../../etc/os-release."
Källa: opennet.ru