Опубликованы корректирующие выпуски пакета Icinga Web 2.6.4, 2.7.4 и v2.8.2, предоставляющего web-интерфейс для системы мониторинга Icinga. В предложенных обновлениях устранена критическая уязвимость (CVE-2020-24368), позволяющая неаутентифицированному атакующему получить доступ к файлам на сервере с привилегиями процесса Icinga Web (обычно пользователь, под которыми выполняется http-сервер или fpm).
Для успешной атаки требуется наличие одного из сторонних модулей, поставляемого с изображениями или пиктограммами. Среди подобных модулей отмечаются Icinga Business Process Modeling, Icinga Director, Icinga Reporting, Maps Module и Globe Module. Сами по себе в данных модулях нет уязвимостей, но они являются факторами, позволяющими организовать атаку на Icinga Web.
Атака осуществляется через отправку запросов HTTP GET или POST к обработчику, выполняющему отдачу изображений, доступ к которому не требует наличия учётной записи. Например, если Icinga Web 2 доступен как «/icingaweb2» и в системе имеется модуль businessprocess, установленный в каталог /usr/share/icingaweb2/modules, для чтения содержимого файла /etc/os-release можно отправить запрос «GET /icingaweb2/static/img?module_name=businessprocess&file=../../../../../../../etc/os-release».
Источник: https://www.opennet.ru/opennews/art.shtml?num=53571