近期,廣受歡迎的寶塔面板爆出嚴重的安全漏洞,使用該面板的站長注意了,趕緊升級到最新版本,避免被刪庫的風險。
- 官方微信:詳情
寶塔面板是一款使用方便、功能強大且終身免費的服務器管理軟件,支持Linux與Windows系統。近日寶塔面館官方發布安全更新,修復了一處高危漏洞。攻擊者通過訪問特定路徑,可以直接訪問到phpmyadmin數據庫管理界面,并可借此獲取服務器系統權限。
漏洞實現
警告!!!寶塔爆出嚴重漏洞:
7.4.2/7.5.14版本下只需訪問
ip:888/pma
即可繞過用戶校驗訪問數據庫。
目前已經有多個網站數據庫被刪,請各位及時更新。
官方信息
【寶塔面板】緊急安全更新通知,Linux面板7.4.2版本/Windows面板6.8版本存在安全隱患,其他版本無此風險。已發布緊急更新,請所有使用此版本的用戶務必升級到最新版,更新方法,登錄面板直接升級更新即可,如更新出現問題,請登錄寶塔論壇反饋或者聯系客服反饋。
詳細步驟
此次更新為緊急安全更新,請Liunx版本7.4.2版本和windows版6.8版本的用戶務必更新到最新版(其他版本不受影響),更新方法登錄面板,首頁右上角點擊更新即可,如若更新失敗,請嘗試修復面板或者聯系客服QQ2839983100反饋。
Linux版本7.4.2版本和測試版本7.5.14的用戶更新到以下版本。
寶塔linux 測試版本7.5.15 (安全版本)
寶塔linux 正式版 7.4.3 (安全版本)
此次更新為緊急安全更新,請7.4.2的用戶務必更新到最新版。
更新方法:
登錄面板后臺,右上角點擊更新,彈窗后,點擊立即更新。
相關截圖
官方截圖
補充
整改方案
- 原文鏈接:詳情
1、聯合補天(國內知名漏洞響應平臺)發布【寶塔面板百萬懸賞漏洞】專題,利用這個平臺集合社會上的白帽子資源對寶塔面板軟件進行有償的挖洞測試,一個洞最高獎勵10萬元(稅后)。首期100萬專項資金已經籌備完畢,會與補天平臺共同來執行,這筆專項資金能持續保障白帽子的積極性,后期隨著公司壯大依然會不斷加大投入漏洞懸賞的金額。
2、內部核心人員停止兩周新功能開發,對現有代碼和接口再做一次全面的代碼審計。
3、聯系第三方的安全團隊,每發布一個大型版本,讓第三方團隊也做一次滲透測試。
4、強化測試版的作用,拉寬測試版和正式版的間隔周期,盡可能的讓任何風險在測試版都暴露出來,保障正式版在生產環境的安全。
5、持續加大安全部門的投入,以面對自身安全需求以及更好的幫助用戶防范使用其他軟件帶來的安全問題。
6、寶塔官方會整理出一系列的初級至中級免費的運維教程,幫助用戶提升運維技術。
7、在面板內置安全審查功能,對于一些常見的未備份、權限、異常記錄、端口暴露等風險進行警示及提供修復方案。
嚴重警告
互聯網并非法外之地,侵害他人信息安全利益將可能被追究刑事責任,切勿以身試法。
應對
因噎廢食?大可不必,互聯網中的漏洞層出不窮,很難避免,但這里有一些意見可供參考。
- 做好相關安全措施
- 周期性備份
- 關注Npcink
后續,Npcink將持續生產相關安全內容,幫助大家保護自己的數據安全。