2020年8月23日下午,宝塔紧急发布安全漏洞更新提醒,要求用户更新到最新版本,7.4.2版本已被证实有超高危漏洞,攻击者可以在几秒钟之内入侵服务器,并快速的删除整个服务器数据库,通过SQL提权的方式,拿到服务器所有权。
宝塔Linux正式版7.4.3更新日期:2020/08/23
紧急修正一处安全风险,建议7.4.2版本的用户立即更新
漏洞演示
公告截图
短信截图
首先宝塔通过及时通知用户更新,这种负责任的态度是值得肯定的。
其次,这次漏洞的危害程度确实非常高。
漏洞情况
经过整理了解到,本次漏洞可以通过批量扫888端口(宝塔默认端口),然后通过PMA的默认URL,Post SQL命令即可完成执行。
即: 无鉴权通过特定地址直接进PMA管理数据库。
漏洞利用情况
该漏洞可轻易复现,并且值得注意的是,这个超高危漏洞,也就是7.4.2版本更新时间已经将近一个月。
所以,可以肯定的是,目前只是爆发出来,截至爆发时间前的一个月,很多网站可能已经被入侵并通过SQL完成了提权。
最重要的是,现在往回排查,工作量大,而且很容易遗漏。
排除方法:/www/wwwlog下面的access.log,查看nginx的888端口访问记录即可初步判断。
更新方式
|
1 |
curl https://download.bt.cn/install/update_panel.sh|bash |
离线更新
1、下载离线升级包:http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip
分流下载:点击下载本站分流
2、将升级包上传到服务器中的/root目录
3、解压文件:unzip LinuxPanel-7.4.3.zip
4、切换到升级包目录: cd panel
5、执行升级脚本:bash update.sh
6、删除升级包:cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel
原创文章,作者:蓝洛水深,如若转载,请注明出处:https://blog.lanluo.cn/9293
微信扫一扫 
支付宝扫一扫 
