zoukankan      html  css  js  c++  java
  • 宝塔7.4.2出现数据库漏洞请朋友们赶紧修复

      周末大家都休息或出去玩了,这时却容易出事情,比如数据库被攻击,这不8.23晚,很多宝塔用户反映数据库出问题了,官方团队也紧急发布安全更新。据了解,此次更新是为了修复phpmyadmin未鉴权可通过特定地址直接登录数据库的严重bug,这个主要是宝塔7.4.2版本,请朋友们赶紧修复

      以下是不幸的网友贴出的phpmyadmin数据库截图,告诫大家经常做好备份,特别是在周末前一定要备份

       升级方法:可以直接在宝塔面板右上角点击更新,或者可以用下面的SSH命令行

    curl https://download.bt.cn/install/update_panel.sh|bash
    

      如果不行,试试下面的代码

    wget -O update.sh http://download.bt.cn/install/update.sh && sh update.sh
    

      以下是宝塔官方的解释

    宝塔面板PMA安全风险事件经过

    起因:

    为解决用户服务器被通过phpmyadmin提权导致的安全问题,
    我们在Linux面板7.4.2/Windows面板6.8.0 版本中加入了phpmyadmin安全访问模块,
    原理是通过面板进行访问phpmyadmin,而不是nginx/apache,
    但因在目录存放时存在一个致命逻辑漏洞,导致nginx/apache也可以访问到专门给面板使用的phpmyadmin目录,
    我们在做安全审计时将重心放在面板程序中,忽略了除面板外被访问的可能,从而导致了此事件的发生.

    受影响的机器:
    同时满足以下所有条件
    1、软件版本为Linux面板7.4.2 或者Windows面板6.8.0
    2、开放888且未配置http认证,
    3、安装了phpmyadmin,mysql数据库
    4、至少通过面板管理链接进入过phpmyadmin一次

    不受影响的机器:
    需满足一条则不受影响
    1、未开放888端口,
    2、针对888端口做了严格的安全认证,
    3、未安装phpmyadmin,
    4、未安装mysql数据库
    5、面板版本不为Linux面板7.4.2/Windows面板6.8.0

    安全更新时间及内容:
    时间:2020-8-23 16:50左右
    1、移除phpmyadmin安全模块
    2、删除phpmyadmin遗留文件
    3、移除fastcgi客户端模块中的目录解释功能

    当前最新的安全版本为:
    Linux面板7.4.3 / Windows面板6.9.0

  • 相关阅读:
    实现倒计时
    slidingMenu使用中侧滑回界面后,出现无焦点问题
    android eclipse 下Device无设备问题解决
    android cordova java.lang.Throwable: EventHub.removeMessages(int what = 107) is not supported before the WebViewCore is set up问题的解决和想法
    Android Cordova 对于软键盘弹出后覆盖输入域的解决
    Extjs最后一页数据删除之后自动返回上一页
    jquery Unexpected token i
    批量删除.svn文件夹、.svn文件
    mysql创建用户权限
    mysql存储过程解决数组传参及游标CURSOR的问题解决方案
  • 原文地址:https://www.cnblogs.com/ytkah/p/13558014.html
Copyright © 2011-2022 走看看