【重要通告】宝塔爆严重漏洞,请用户及时更新!

@西城知道

知道君想做你的男闺蜜,和你聊聊情感、风月、人间事,以及生活的一点趣致...

前往微博

【重要通告】宝塔爆严重漏洞,请用户及时更新!

根据宝塔官方消息,宝塔软件面板目前出现的漏洞详情如下:已安装宝塔面板的服务器,通过IP:888/pma即可直接进入数据库后台,对数据库进行任何的修改和删除。目前宝塔官方已经紧急通知了所有使用宝塔面板的用户,并且在官方论坛、QQ群、公众号发布了宝塔面板的升级通知,紧急修复了bug问题。

受影响的机器

符合以下所有条件,即为受到影响的机器:
1. 宝塔软件版本为Linux面板7.4.2 或者Windows面板6.8.0;
2. 开放888且未配置http认证;
3. 安装了phpmyadmin,mysql数据库。

不受影响的机器

符合以下其中一个条件,即不会受到影响:
1. 未开放888端口;
2. 针对888端口做了严格的安全认证;
3. 未安装phpmyadmin;
4. 未安装mysql数据库;
5. 宝塔软件版本不为Linux面板7.4.2/Windows面板6.8.0。

数据备份及修复方法

数据备份及修复方法如下:

1. 安全备份数据建议

宝塔面板官方已经发布相应安全加固程序,请根据当前版本选择所对应的程序文件,运行前请先做好备份;

2. 安全更新方法及下载地址

https://www.bt.cn/bbs/thread-54644-1-1.html

3. 无法升级的解决办法

如果在宝塔控制面板的首页右上角点击升级面板无效,可尝试以下方式:通过SSH连接(不能在面板自带的SSH终端执行)服务器后,输入:
curl https://download.bt.cn/install/update_panel.sh|bash

4. 宝塔离线升级

下载离线升级包:
http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip
将升级包上传到服务器中的/root目录
解压文件:unzip
LinuxPanel-7.4.3.zip
切换到升级包目录:cd panel
执行升级脚本:bash update.sh
删除升级包:cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel  
破坏计算机判刑极严,切勿以身试法
请勿在网上传授他人使用方法以及使用这些工具破坏他人服务器
传授及操作都已经触犯刑法,
网络非法外之地,国家对于破坏计算机信息系统罪是严打的,判刑都是都比较重的,千万不要以身试法。
也有部分用户受此安全风险影响,我们会全力配合用户固定证据,配合公安机关进行下一步侦查。
有受影响的用户,或者怀疑自己受影响的用户可以直接联系我们,近期我们会加派人手跟进售后。

有数据影响的自身没备份的可以联系我们尝试通过面板二进制日志恢复。

宝塔面板PMA安全风险事件经过
起因:

为解决用户服务器被通过phpmyadmin提权导致的安全问题,

我们在Linux面板7.4.2/Windows面板6.8.0 版本中加入了phpmyadmin安全访问模块,

原理是通过面板进行访问phpmyadmin,而不是nginx/apache,

但因在目录存放时存在一个致命逻辑漏洞,导致nginx/apache也可以访问到专门给面板使用的phpmyadmin目录,

我们在做安全审计时将重心放在面板程序中,忽略了除面板外被访问的可能,从而导致了此事件的发生.

未经允许不得转载:作者:知道君, 转载或复制请以 超链接形式 并注明出处 夏末浅笑
原文地址:《【重要通告】宝塔爆严重漏洞,请用户及时更新!》 发布于2020-08-26

分享到:
赞(0) 喝一杯咖啡
评论下载是需要人工审核后才能下载的!!!建议QQ授权登录后再评论。

评论 抢沙发

8 + 6 =


觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

下载说明
评论下载是需要人工审核后才能下载的!!!建议QQ授权登录后再评论。
切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

Q Q 登 录
微 博 登 录
切换登录

注册