最新公告
  • 欢迎您光临浪杉博客,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 宝塔Linux面板 7.4.3 正式版 已发布!

    更新日志:
    1、紧急修正一处安全风险
    此次更新为紧急安全更新,请7.4.2的用户务必更新到最新版。

    升级脚本(注意:优先在面板首页直接点更新,失败的情况下,才使用此命令,且不能在面板自带的SSH终端执行):

    curl https://download.bt.cn/install/update_panel.sh|bash

     

    离线升级步骤:

    1、下载离线升级包:http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip
    2、将升级包上传到服务器中的/root目录
    3、解压文件:unzip LinuxPanel-7.4.3.zip
    4、切换到升级包目录: cd panel
    5、执行升级脚本:bash update.sh
    6、删除升级包:cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel

     

    0x001漏洞说明【法律无情,请不要以身试法】

    宝塔面板Linux7.4.2以及Windows6.8版本PhpmyAdmin未加签权,通过IP:888/pma可以直接登录数据库,现已出现漏洞批量利用工具,可通过Zmap扫描全球888端口进行大规模提权

    0x002解决方法

    宝塔官方已发布紧急更新,所有使用此版本的用户升级到最新版即可解决

    宝塔面板Linux7.4.2以及Windows6.8版本PhpmyAdmin未加签权漏洞-宝塔面板最新漏洞插图

    详细的了解了下,是由于phpMyAdmin鉴权造成的漏洞,只需要访问http://ip:888/pma则可直接进入到数据库进行操作,目前已经有人开始搞事情了,疯狂删库了,更有甚者将临沂市总工会官网脱库了(未证实)。宝塔默认安装phpMyAdmin并开启了888端口,所以大家使用对应版本的一定要注意了,不然就成这个亚子了:

    宝塔面板Linux7.4.2以及Windows6.8版本PhpmyAdmin未加签权漏洞-宝塔面板最新漏洞插图(2)

    不知名受害者

    宝塔面板Linux7.4.2以及Windows6.8版本PhpmyAdmin未加签权漏洞-宝塔面板最新漏洞插图(4)

     

     

    本文链接:https://www.ttccl.com/44272.html

    1. 本站所有资源来源于用户上传和网络,因此不包含技术服务请大家谅解!如有侵权请邮件联系客服!byzps@qq.com
    2. 本站不保证所提供下载的资源的准确性、安全性和完整性,资源仅供下载学习之用!如有链接无法下载、失效或广告,请联系客服处理,有奖励!
    3. 您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容资源!如用于商业或者非法用途,与本站无关,一切后果请用户自负!
    4. 如果您也有好的资源或教程,您可以投稿发布,成功分享后有站币奖励和额外收入!

    浪杉博客 » 宝塔面板Linux7.4.2以及Windows6.8版本PhpmyAdmin未加签权漏洞-宝塔面板最新漏洞