漏洞简述
2020年08月23日, 360CERT监测发现宝塔面板官方发布了数据库未授权访问漏洞的风险通告,漏洞等级:严重。
宝塔面板存在数据库未授权访问的漏洞,远程攻击者通过访问特定路径,可以直接访问到phpmyadmin数据库管理页面,并可借此获取服务器系统权限。对此,360CERT建议广大用户及时根据版本安装对应的宝塔面板安全加固程序。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
影响版本
宝塔面板Linux版本:7.4.2版本和测试版本7.5.14
宝塔面板Windows版本:6.8版本
修复建议
- 宝塔面板Linux版本7.4.2版本升级到7.4.3版本
- 宝塔面板Linux测试版本7.5.14版本升级到7.5.15版本
- 宝塔面板Windows版本6.8版本升级到6.9.0版本
修复方式
升级脚本
注意:优先在面板首页直接点更新,失败的情况下,才使用此命令,且不能在面板自带的SSH终端执行):
curl https://download.bt.cn/install/update_panel.sh|bash
离线升级步骤
1、下载离线升级包:http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip
2、将升级包上传到服务器中的/root目录
3、解压文件:unzip LinuxPanel-7.4.3.zip
4、切换到升级包目录: cd panel
5、执行升级脚本:bash update.sh
6、删除升级包:cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel