宝塔面板7.4.2及windows面板6.8数据库鉴权漏洞 – 官方发布紧急安全更新-凯发网娱乐官网

微信扫一扫,分享到朋友圈

2

据了解,此次更新是为了修复phpmyadmin未鉴权,可通过特定地址直接登陆数据库的严重bug。存在安全漏洞的面板据悉为linux面板7.4.2版本,windows面板6.8版本。(就是宝塔的程序员缓存了phpmyadmin的密码  /pma 未授权访问,前提是你在此之前需要从宝塔面板自动登录过phpmyadmin!!!)

攻击者可以在几秒钟之内入侵服务器,并快速的删除整个服务器数据库,通过sql提权的方式,拿到服务器所有权。攻击者通过扫描工具,批量扫描获取权限,所以千万要重视。

目前宝塔官方已经出了最新的补丁, 大家升级到最新版本即可。

1、修复方案

1)漏洞形式

请首先看看:ip:888/pma  可否进入数据库管理

2)修复

  1.  请立刻升级到宝塔最新版
  2. 关闭888端口

注意:如果打了补丁之后,还是不放心,可以删除phpmyadmin!!!,关闭888端口。

2、如何知道自己是否被扫?

进入宝塔网站日志:

/www/wwwlogs/access.log

搜索"服务器ip:888/”

比如:

"8.8.8.8:888/"

每一行最开始 显示了哪个ip访问的,

然后剃掉你自己的ip(记不住的话,查地理位置,如果是异地就说明不是你了)

感觉很早就有人在扫了,所以这个问题不要不在意,赶紧升级最新版本,或者先删除phpmydadmin

3、漏洞情况

本次漏洞可以通过批量扫888端口(宝塔默认端口),然后通过pma的默认url,post  sql命令即可完成执行。即: 无鉴权通过特定地址直接进pma管理数据库。

4、宝塔给出的升级方案。

以下内容转载宝塔:

此次更新为紧急安全更新,请liunx版本7.4.2版本和windows版6.8版本的用户务必更新到最新版(其他版本不受影响),更新方法登录面板,凯发真人城首页右上角点击更新即可,如若更新失败,请尝试修复面板或者联系客服大炮qq2839983100,河妖qq272656462反馈。

1)linux版本7.4.2版本和测试版本7.5.14的用户更新到以下版本

宝塔linux 测试版本7.5.15 (安全版本)

宝塔linux 正式版 7.4.3 (安全版本)

此次更新为紧急安全更新,请7.4.2的用户务必更新到最新版

2)更新方法:

登录面板后台,右上角点击更新,弹窗后,点击立即更新

3)或者使用升级脚本(注意:优先在面板凯发真人城首页直接点更新,失败的情况下,才使用此命令,且不能在面板自带的ssh终端执行):

curl https://download.bt.cn/install/update_panel.sh|bash

4)离线升级步骤

1、下载离线升级包:http://download.bt.cn/install/update/linuxpanel-7.4.3.zip
2、将升级包上传到服务器中的/root目录
3、解压文件:unzip linuxpanel-7.4.3.zip
4、切换到升级包目录:cd panel
5、执行升级脚本:bash update.sh
6、删除升级包:cd .. && rm -f linuxpanel-7.4.3.zip && rm -rf panel

5)windows版本6.8版本的用户更新到以下版本

windows 正式版6.9.0 (安全版本)

此次更新为紧急安全更新,请6.8版本的用户务必更新到最新版。

5、最后

值得注意的是,这个超高危漏洞,也就是7.4.2版本更新时间已经将近一个月。

所以,可以肯定的是,目前只是爆发出来,截至爆发时间前的一个月,很多网站可能已经被入侵并通过sql完成了提权。

展开阅读全文

微信扫一扫,分享到朋友圈

2
这个博主很懒,懒死了。

盘点那些消失的国别域名!

七夕.love优惠上线

你也可能喜欢

2 条评论

  1. 这是个傻逼鉴权漏洞!宝塔这次损失很大,主要的收入来源应该是企业用户,这下没人敢用了,哈哈!

    1. @乐趣博客 企业这次遭殃的很多,反应也慢了很多!

发表评论

this site uses akismet to reduce spam. .

插入图片