TIME:2020/08/23

官方发布:

2020-08-23 16:38:47
Linux面板7.4.3
紧急修正一处安全风险,建议7.4.2版本的用户立即更新

2020-08-23 16:35:52
Linux面板7.5.15 测试版
紧急修正一处安全风险

2020/08/23晚上,宝塔官方给每个手机注册用户都发送了紧急通知.

漏洞版本:

Linux7.4.2版本和Windows6.8版本

安全问题:

此版本宝塔面板在部署phpmyadmin时,直接部署在http://ip:888/pma/ 路径下,且不需要验证用户名密码直接访问,对数据库安全构成严重威胁,攻击者甚至可以通过数据库获得服务器权限。

官方更新方法:

脚本在线升级:

登录面板后台,右上角点击更新,弹窗后,点击立即更新
或者使用升级脚本(注意:优先在面板首页直接点更新,失败的情况下,才使用此命令,且不能在面板自带的SSH终端执行):
curl https://download.bt.cn/install/update_panel.sh|bash

离线升级步骤:

  1. 下载离线升级包:http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip
  2. 将升级包上传到服务器中的/root目录 3、解压文件:unzip LinuxPanel-7.4.3.zip
  3. 切换到升级包目录:cd panel
  4. 执行升级脚本:bash update.sh
  5. 删除升级包:cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel

注意:

若数据库被恶意删除,在升级面板后,若您不了解数据库恢复机制,请不要做其它操作,建议直接关机,然后找专业人士协助恢复数据
错误的操作方法,可能降低后期数据恢复概率,如需寻求数据恢复协助,请联系客服

总结建议:

每天定时备份全站数据(宝塔定时备份)
每天关注安全漏洞话题
每天关注Hpeak.cn的技术文章(这点很重要!)
数据库等敏感地址做好防火墙以及限制你的IP才可以访问

 


一沙一世界,一花一天堂。君掌盛无边,刹那成永恒。