包的修正版本 ,為監控系統提供Web介面 。 擬議的更新消除了一個關鍵的 (CVE-2020-24368),允許未經身份驗證的攻擊者使用 Icinga Web 進程(通常是執行 http 伺服器或 fpm 的使用者)的權限存取伺服器上的檔案。
成功的攻擊需要存在帶有圖像或圖示的第三方模組之一。 這些模組包括 Icinga 業務流程建模、Icinga Director、
Icinga 報告、地圖模組和 Globe 模組。 這些模組本身不包含漏洞,但它們是組織對 Icinga Web 攻擊的因素。
該攻擊是透過向提供映像的處理程序發送 HTTP GET 或 POST 請求來執行的,無需帳戶即可存取映像。 例如,如果 Icinga Web 2 以“/icingaweb2”形式提供,並且系統在 /usr/share/icingaweb2/modules 目錄中安裝了業務流程模組,則您可以發送請求“GET /icingaweb2/static”來讀取內容/ etc/os-release 文件/img?module_name=businessprocess&file=../../../../../../../etc/os-release.”
來源: opennet.ru