包的修正版本 ,为监控系统提供Web界面 。 拟议的更新消除了一个关键的 (CVE-2020-24368),允许未经身份验证的攻击者使用 Icinga Web 进程(通常是运行 http 服务器或 fpm 的用户)的权限访问服务器上的文件。
成功的攻击需要存在带有图像或图标的第三方模块之一。 这些模块包括 Icinga 业务流程建模、Icinga 总监、
Icinga 报告、地图模块和 Globe 模块。 这些模块本身不包含漏洞,但它们是组织对 Icinga Web 攻击的因素。
该攻击是通过向提供图像的处理程序发送 HTTP GET 或 POST 请求来执行的,无需帐户即可访问图像。 例如,如果 Icinga Web 2 以“/icingaweb2”形式提供,并且系统在 /usr/share/icingaweb2/modules 目录中安装了业务流程模块,则您可以发送请求“GET /icingaweb2/static”来读取内容/etc/os-release 文件 /img?module_name=businessprocess&file=../../../../../../../etc/os-release。”
来源: opennet.ru