近期,廣受歡迎的寶塔面板爆出嚴(yán)重的安全漏洞,使用該面板的站長注意了,趕緊升級到最新版本,避免被刪庫的風(fēng)險。
- 官方微信:詳情
寶塔面板是一款使用方便、功能強(qiáng)大且終身免費(fèi)的服務(wù)器管理軟件,支持Linux與Windows系統(tǒng)。近日寶塔面館官方發(fā)布安全更新,修復(fù)了一處高危漏洞。攻擊者通過訪問特定路徑,可以直接訪問到phpmyadmin數(shù)據(jù)庫管理界面,并可借此獲取服務(wù)器系統(tǒng)權(quán)限。
漏洞實現(xiàn)
警告!!!寶塔爆出嚴(yán)重漏洞:
7.4.2/7.5.14版本下只需訪問
ip:888/pma
即可繞過用戶校驗訪問數(shù)據(jù)庫。
目前已經(jīng)有多個網(wǎng)站數(shù)據(jù)庫被刪,請各位及時更新。
官方信息
【寶塔面板】緊急安全更新通知,Linux面板7.4.2版本/Windows面板6.8版本存在安全隱患,其他版本無此風(fēng)險。已發(fā)布緊急更新,請所有使用此版本的用戶務(wù)必升級到最新版,更新方法,登錄面板直接升級更新即可,如更新出現(xiàn)問題,請登錄寶塔論壇反饋或者聯(lián)系客服反饋。
詳細(xì)步驟
此次更新為緊急安全更新,請Liunx版本7.4.2版本和windows版6.8版本的用戶務(wù)必更新到最新版(其他版本不受影響),更新方法登錄面板,首頁右上角點(diǎn)擊更新即可,如若更新失敗,請嘗試修復(fù)面板或者聯(lián)系客服QQ2839983100反饋。
Linux版本7.4.2版本和測試版本7.5.14的用戶更新到以下版本。
寶塔linux 測試版本7.5.15 (安全版本)
寶塔linux 正式版 7.4.3 (安全版本)
此次更新為緊急安全更新,請7.4.2的用戶務(wù)必更新到最新版。
更新方法:
登錄面板后臺,右上角點(diǎn)擊更新,彈窗后,點(diǎn)擊立即更新。
相關(guān)截圖
官方截圖
補(bǔ)充
整改方案
- 原文鏈接:詳情
1、聯(lián)合補(bǔ)天(國內(nèi)知名漏洞響應(yīng)平臺)發(fā)布【寶塔面板百萬懸賞漏洞】專題,利用這個平臺集合社會上的白帽子資源對寶塔面板軟件進(jìn)行有償?shù)耐诙礈y試,一個洞最高獎勵10萬元(稅后)。首期100萬專項資金已經(jīng)籌備完畢,會與補(bǔ)天平臺共同來執(zhí)行,這筆專項資金能持續(xù)保障白帽子的積極性,后期隨著公司壯大依然會不斷加大投入漏洞懸賞的金額。
2、內(nèi)部核心人員停止兩周新功能開發(fā),對現(xiàn)有代碼和接口再做一次全面的代碼審計。
3、聯(lián)系第三方的安全團(tuán)隊,每發(fā)布一個大型版本,讓第三方團(tuán)隊也做一次滲透測試。
4、強(qiáng)化測試版的作用,拉寬測試版和正式版的間隔周期,盡可能的讓任何風(fēng)險在測試版都暴露出來,保障正式版在生產(chǎn)環(huán)境的安全。
5、持續(xù)加大安全部門的投入,以面對自身安全需求以及更好的幫助用戶防范使用其他軟件帶來的安全問題。
6、寶塔官方會整理出一系列的初級至中級免費(fèi)的運(yùn)維教程,幫助用戶提升運(yùn)維技術(shù)。
7、在面板內(nèi)置安全審查功能,對于一些常見的未備份、權(quán)限、異常記錄、端口暴露等風(fēng)險進(jìn)行警示及提供修復(fù)方案。
嚴(yán)重警告
互聯(lián)網(wǎng)并非法外之地,侵害他人信息安全利益將可能被追究刑事責(zé)任,切勿以身試法。
應(yīng)對
因噎廢食?大可不必,互聯(lián)網(wǎng)中的漏洞層出不窮,很難避免,但這里有一些意見可供參考。
- 做好相關(guān)安全措施
- 周期性備份
- 關(guān)注Npcink
后續(xù),Npcink將持續(xù)生產(chǎn)相關(guān)安全內(nèi)容,幫助大家保護(hù)自己的數(shù)據(jù)安全。