关于Linux面板7.4.2及Windows面板6.8紧急安全更新

您的位置: 首页 > 知识动态 > 行业动态 >> 详细信息
Linux版本7.4.2版本和测试版本7.5.14的用户更新到以下版本

宝塔linux 测试版本7.5.15 (安全版本)
宝塔linux 正式版 7.4.3 (安全版本)
此次更新为紧急安全更新,请7.4.2的用户务必更新到最新版

更新方法:

登录面板后台,右上角点击更新,弹窗后,点击立即更新



或者使用升级脚本(注意:优先在面板首页直接点更新,失败的情况下,才使用此命令,且不能在面板自带的SSH终端执行):
  1. curl https://download.bt.cn/install/update_panel.sh|bash

复制代码


离线升级步骤:
1、下载离线升级包:http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip
2、将升级包上传到服务器中的/root目录
3、解压文件:unzip LinuxPanel-7.4.3.zip
4、切换到升级包目录:cd panel
5、执行升级脚本:bash update.sh
6、删除升级包:cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel

Windows版本6.8版本的用户更新到以下版本
Windows 正式版6.9.0 (安全版本)


更新日志:
1、紧急修正一处安全风险


破坏计算机判刑极严,切勿以身试法
本次安全风险我们已经在当地公安局报备,请勿在网上传授他人使用方法以及使用这些工具破坏他人服务器
传授及操作都已经触犯刑法,
网络非法外之地,
国家对于破坏计算机信息系统罪是严打的,判刑都是都比较重的,千万不要以身试法。

也有部分用户受此安全风险影响,我们会全力配合用户固定证据,配合公安机关进行下一步侦查。
有受影响的用户,或者怀疑自己受影响的用户可以直接联系我们,近期我们会加派人手跟进售后。
有数据影响的自身没备份的可以联系我们尝试通过面板二进制日志恢复。


宝塔面板PMA安全风险事件经过

起因:

为解决用户服务器被通过phpmyadmin提权导致的安全问题,
我们在Linux面板7.4.2/Windows面板6.8.0 版本中加入了phpmyadmin安全访问模块,
原理是通过面板进行访问phpmyadmin,而不是nginx/apache,
但因在目录存放时存在一个致命逻辑漏洞,导致nginx/apache也可以访问到专门给面板使用的phpmyadmin目录,
我们在做安全审计时将重心放在面板程序中,忽略了除面板外被访问的可能,从而导致了此事件的发生.

受影响的机器:
同时满足以下所有条件
1、软件版本为Linux面板7.4.2 或者Windows面板6.8.0
2、开放888且未配置http认证,
3、安装了phpmyadmin,mysql数据库

不受影响的机器:
需满足一条则不受影响
1、未开放888端口,
2、针对888端口做了严格的安全认证,
3、未安装phpmyadmin,
4、未安装mysql数据库
5、面板版本不为Linux面板7.4.2/Windows面板6.8.0

安全更新时间及内容:
时间:2020-8-23 16:50左右
1、移除phpmyadmin安全模块
2、删除phpmyadmin遗留文件
3、移除fastcgi客户端模块中的目录解释功能

当前最新的安全版本为:
Linux面板7.4.3 / Windows面板6.9.0

除使用紧急修复补丁以外的其它措施:
1、第一时间通过 短信、公众号、官网、QQ群等渠道通知用户升级
2、在云端软件安装脚本中加入漏洞检测功能,在用户通过云端安装软件时,检测发现漏洞后尝试修复
3、通过漏洞本身,尝试破坏利用链(尝试通过phpmyadmin自身漏洞删除config.inc.php, 仅部分Windows有效/Linux版本尝试失败) 2020-8-23 22:00 ~ 2020-8-24 4:00
4、通过漏洞本身,尝试破坏利用链(强制修改数据库root密码),此方法部分服务器有效,受phpmyadmin版本和用户配置影响 执行时间:2020-8-24 8:00 ~ 2020-8-24 9:40
5、阿里云,腾讯云等很多IDC厂商已紧急发布更新预警并采取限制端口的措施来防止漏洞被利用

上一篇:宝塔针对此次安全事件的一个溯源追踪   下一篇:宝塔控制面板现重大安全漏洞需紧急升级,附无法升级解决方法
分享此文章:58
47
本站系本网编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容!
[声明]本站文章版权归原作者所有 内容为作者个人观点 本站只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权。[详细]
我们已经准备好了,你呢?
2020我们与您携手共赢,为您的企业形象保驾护航!

不达标就退款

高性价比建站

免费网站代备案

1对1原创设计服务

7×24小时售后支持

 
宣城市蓝雨网络科技有限公司微信
Copyright © 2006-2020 宣城市蓝雨网络科技有限公司      ICP备案:皖ICP备13017672号     免责声明 皖公网安备 34180202000294号

在线
客服

在线客服服务时间:9:00-20:00

选择下列产品马上在线沟通:

客服
热线

18156306406
7*24小时客服热线

微信
咨询

加微信获取报价
顶部

联系我们

×
客服QQ:6102031直接对话加为好友