漏洞描述
8月23日宝塔面板官方发布安全更新,修复了一处高危漏洞。攻击者可利用该漏洞,绕过鉴权,通过特定URL直接登陆到phpMyAdmin数据库管理界面,并可获取服务器系统权限,该漏洞已出现批量利用工具,可通过相关工具扫描宝塔端口进行大规模提权。666云应急响应中心提醒,宝塔面板用户应尽快采取升级面板和备份数据等措施避免安全风险!
影响版本范围
Linux版本 7.4.2版本
Linux测试版本 7.5.14版本
Windows版 6.8版本
更早期的版本是否有影响?
宝塔面板的大部分版本更新都是在安全上改进,旧版本请尽快升级,避免出现更多漏洞问题!!!
安全建议
为避免因不可预知风险导致地数据安全隐患,推荐使用云帮手进行服务器批量化安全管理,云帮手具备多项安全特性,有效抵御风险:
1.安全巡检,采用云端检测技术,对服务器安全配置进行全面、高效的基线检查,有效防御未知威胁;
2.安全防护,基于驱动级的文件主动防御,从源头杜绝木马病毒侵害,另有网络连接管控、端口防护、IP黑白名单等安全措施,有效防御入侵;
3.站点一键搭建,数据库自动备份到私有云盘;
4.实时主机监控,CPU、内存、磁盘、网络监控及告警;
5.环境管理,一键LAMP/LNMP/FTP/PHP/.NET等服务器常用环境搭建。
云帮手产品下载:https://www.cloudx.cn/
为防止用户损失进一步扩大,666云已临时将phpMyAdmin默认端口888进行了屏蔽(不保证完全有效),宝塔面板用户应尽快采取升级面板和备份数据等措施避免安全风险!
更新方法:
登录面板后台,右上角点击更新,弹窗后,点击立即更新
或者使用升级脚本(注意:优先在面板首页直接点更新,失败的情况下,才使用此命令,且不能在面板自带的SSH终端执行):
1.curl https://download.bt.cn/install/update_panel.sh|bash
复制代码
离线升级步骤:
1、下载离线升级包:http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip
2、将升级包上传到服务器中的/root目录
3、解压文件:unzip LinuxPanel-7.4.3.zip
4、切换到升级包目录:cd panel
5、执行升级脚本:bash update.sh
6、删除升级包:cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel
Windows版本6.8版本的用户更新到以下版本
Windows 正式版6.9.0 (安全版本)
Copyright © 2016-2020 666yun.cn. All Rights Reserved. 666云 版权所有 嘉兴艾泰德信息技术有限公司 浙ICP备16029822号-12
统一社会信用代码:91330402MA28AHBRX4 互联网经营许可证:浙B1-20173072