宝塔面板惊现漏洞紧急更新-你修复了吗?-附一些重要端口修改教程

作者 : 狸猫 本文共787个字,预计阅读时间需要2分钟 发布时间: 2020-08-25 共102人阅读

宝塔面板惊现漏洞紧急更新-你修复了吗?-宝塔漏洞修复方法-附一些重要端口修改教程

宝塔面板正式版linux7.4.2、测试版本7.5.15与Windows 正式版6.9.0,这三个版本存在严重安全漏洞,须要紧急更新,不知道还有多少小伙伴没有收到通知,还没有更新的赶紧修复吧!

关于漏洞:

为解决用户服务器被通过phpmyadmin提权导致的安全问题,
我们在Linux面板7.4.2/Windows面板6.8.0 版本中加入了phpmyadmin安全访问模块。
原理是通过面板进行访问phpmyadmin,而不是nginx/apache。
但因在目录存放时存在一个致命逻辑漏洞,导致nginx/apache也可以访问到专门给面板使用的phpmyadmin目录。
我们在做安全审计时将重心放在面板程序中,忽略了除面板外被访问的可能,从而导致了此事件的发生。

受影响机器:

需同时满足以下所有条件
1、软件版本为Linux面板7.4.2 或者Windows面板6.8.0
2、开放888且未配置http认证
3、安装了phpmyadmin,mysql数据库

不受影响的机器:

只需满足一条则不受影响
1、未开放888端口,
2、针对888端口做了严格的安全认证,
3、未安装phpmyadmin,
4、未安装mysql数据库
5、面板版本不为Linux面板7.4.2/Windows面板6.8.0

 

更新方法:

登录面板后台,右上角点击更新,弹窗后,点击立即更新

关于宝塔一些安全:

有好多小伙伴装完宝塔面板都喜欢用默认端口信息,面板端口、SSH端口、FTP端口、phpmyadmin端口,这些都应该修改一下,这次事件给我们敲响了一次安全警钟。关于一些端口修改见下图:

修改面板访问端口

修改ssh端口

修改phpmyadmin端口

还有一点要注意,如果你使用的服务器设置了安全组,在宝塔里修改完一定要把修改后的端口加入你的服务器安全组。


狸猫博客 » 宝塔面板惊现漏洞紧急更新-你修复了吗?-附一些重要端口修改教程

常见问题FAQ

狸猫博客的会员值得开吗?
狸猫博客的所有资源都是站长狸猫亲自测试,每天更新不多,但是保证都能使用