周末大家都休息或出去玩了,這時卻容易出事情,比如數據庫被攻擊,這不8.23晚,很多寶塔用戶反映數據庫出問題了,官方團隊也緊急發布安全更新。據了解,此次更新是為了修復phpmyadmin未鑒權可通過特定地址直接登錄數據庫的嚴重bug,這個主要是寶塔7.4.2版本,請朋友們趕緊修復
以下是不幸的網友貼出的phpmyadmin數據庫截圖,告誡大家經常做好備份,特別是在周末前一定要備份
升級方法:可以直接在寶塔面板右上角點擊更新,或者可以用下面的SSH命令行
curl https://download.bt.cn/install/update_panel.sh|bash
如果不行,試試下面的代碼
wget -O update.sh http://download.bt.cn/install/update.sh && sh update.sh
以下是寶塔官方的解釋
起因:
為解決用戶服務器被通過phpmyadmin提權導致的安全問題,
我們在Linux面板7.4.2/Windows面板6.8.0 版本中加入了phpmyadmin安全訪問模塊,
原理是通過面板進行訪問phpmyadmin,而不是nginx/apache,
但因在目錄存放時存在一個致命邏輯漏洞,導致nginx/apache也可以訪問到專門給面板使用的phpmyadmin目錄,
我們在做安全審計時將重心放在面板程序中,忽略了除面板外被訪問的可能,從而導致了此事件的發生.
受影響的機器:
需同時滿足以下所有條件
1、軟件版本為Linux面板7.4.2 或者Windows面板6.8.0
2、開放888且未配置http認證,
3、安裝了phpmyadmin,mysql數據庫
4、至少通過面板管理鏈接進入過phpmyadmin一次
不受影響的機器:
只需滿足一條則不受影響
1、未開放888端口,
2、針對888端口做了嚴格的安全認證,
3、未安裝phpmyadmin,
4、未安裝mysql數據庫
5、面板版本不為Linux面板7.4.2/Windows面板6.8.0
安全更新時間及內容:
時間:2020-8-23 16:50左右
1、移除phpmyadmin安全模塊
2、刪除phpmyadmin遺留文件
3、移除fastcgi客戶端模塊中的目錄解釋功能
當前最新的安全版本為:
Linux面板7.4.3 / Windows面板6.9.0