paketin düzeltici sürümleri izleme sistemi için bir web arayüzü sağlayan . Önerilen güncellemeler kritik bir sorunu ortadan kaldırıyor (CVE-2020-24368), kimliği doğrulanmamış bir saldırganın, Icinga Web işleminin ayrıcalıklarıyla (genellikle http sunucusunun veya fpm'nin altında çalıştığı kullanıcı) sunucudaki dosyalara erişmesine olanak tanır.
Başarılı bir saldırı, resimler veya simgelerle birlikte gelen üçüncü taraf modüllerden birinin varlığını gerektirir. Bu modüller arasında Icinga İş Süreci Modellemesi, Icinga Direktörü,
Icinga Raporlama, Haritalar Modülü ve Küre Modülü. Bu modüllerin kendisi zafiyet içermemektedir ancak Icinga Web'e saldırı düzenlenmesine olanak sağlayan faktörlerdir.
Saldırı, erişimi hesap gerektirmeyen görüntüler sunan bir işleyiciye HTTP GET veya POST istekleri gönderilerek gerçekleştirilir. Örneğin, Icinga Web 2 “/icingaweb2” olarak mevcutsa ve sistemin /usr/share/icingaweb2/modules dizininde kurulu bir iş süreci modülü varsa, içeriği okumak için “GET /icingaweb2/static” isteği gönderebilirsiniz. /etc/os-release dosyasının /img?module_name=businessprocess&file=../../../../../../../etc/os-release."
Kaynak: opennet.ru