近期,广受欢迎的宝塔面板爆出严重的安全漏洞,使用该面板的站长注意了,赶紧升级到最新版本,避免被删库的风险。
- 官方微信:详情
宝塔面板是一款使用方便、功能强大且终身免费的服务器管理软件,支持Linux与Windows系统。近日宝塔面馆官方发布安全更新,修复了一处高危漏洞。攻击者通过访问特定路径,可以直接访问到phpmyadmin数据库管理界面,并可借此获取服务器系统权限。
漏洞实现
警告!!!宝塔爆出严重漏洞:
7.4.2/7.5.14版本下只需访问
ip:888/pma
即可绕过用户校验访问数据库。
目前已经有多个网站数据库被删,请各位及时更新。
官方信息
【宝塔面板】紧急安全更新通知,Linux面板7.4.2版本/Windows面板6.8版本存在安全隐患,其他版本无此风险。已发布紧急更新,请所有使用此版本的用户务必升级到最新版,更新方法,登录面板直接升级更新即可,如更新出现问题,请登录宝塔论坛反馈或者联系客服反馈。
详细步骤
此次更新为紧急安全更新,请Liunx版本7.4.2版本和windows版6.8版本的用户务必更新到最新版(其他版本不受影响),更新方法登录面板,首页右上角点击更新即可,如若更新失败,请尝试修复面板或者联系客服QQ2839983100反馈。
Linux版本7.4.2版本和测试版本7.5.14的用户更新到以下版本。
宝塔linux 测试版本7.5.15 (安全版本)
宝塔linux 正式版 7.4.3 (安全版本)
此次更新为紧急安全更新,请7.4.2的用户务必更新到最新版。
更新方法:
登录面板后台,右上角点击更新,弹窗后,点击立即更新。
相关截图
官方截图
补充
整改方案
- 原文链接:详情
1、联合补天(国内知名漏洞响应平台)发布【宝塔面板百万悬赏漏洞】专题,利用这个平台集合社会上的白帽子资源对宝塔面板软件进行有偿的挖洞测试,一个洞最高奖励10万元(税后)。首期100万专项资金已经筹备完毕,会与补天平台共同来执行,这笔专项资金能持续保障白帽子的积极性,后期随着公司壮大依然会不断加大投入漏洞悬赏的金额。
2、内部核心人员停止两周新功能开发,对现有代码和接口再做一次全面的代码审计。
3、联系第三方的安全团队,每发布一个大型版本,让第三方团队也做一次渗透测试。
4、强化测试版的作用,拉宽测试版和正式版的间隔周期,尽可能的让任何风险在测试版都暴露出来,保障正式版在生产环境的安全。
5、持续加大安全部门的投入,以面对自身安全需求以及更好的帮助用户防范使用其他软件带来的安全问题。
6、宝塔官方会整理出一系列的初级至中级免费的运维教程,帮助用户提升运维技术。
7、在面板内置安全审查功能,对于一些常见的未备份、权限、异常记录、端口暴露等风险进行警示及提供修复方案。
严重警告
互联网并非法外之地,侵害他人信息安全利益将可能被追究刑事责任,切勿以身试法。
应对
因噎废食?大可不必,互联网中的漏洞层出不穷,很难避免,但这里有一些意见可供参考。
- 做好相关安全措施
- 周期性备份
- 关注Npcink
后续,Npcink将持续生产相关安全内容,帮助大家保护自己的数据安全。
宝塔给我发了两次短信 ✗微笑✗
我也是呀,可以说是相当严重的安全漏洞了。
吓死我了,一看版本还真是7.4.2,昨天夜晚宝塔给我发了一条短信让我升级,我也没管,谁知这么严重
✗不是吧
一定要记得升级哦,就算是平时,也要做好关键数据的周期性备份