宝塔 Linux 7.4.2 版本和Windows 6.8版本存在未授权访问漏洞,攻击者可通过访问特定URL直接访问数据库。成功利用此漏洞的攻击者可访问数据库中的数据,也可能进行一些危险操作。鉴于该漏洞影响较大,建议客户尽快升级到最新版本。
漏洞描述
宝塔Linux面板是提升运维效率的服务器管理软件,支持一键LAMP/LNMP/集群/监控/网站/FTP/数据库/JAVA等100多项服务器管理功能,已获得全球百万用户认可安装。
宝塔 Linux 7.4.2 版本和Windows 6.8版本存在未授权访问漏洞,攻击者可通过访问特定URL直接访问数据库。成功利用此漏洞的攻击者可访问数据库中的数据,也可能进行一些危险操作。
奇安信CERT已成功复现此漏洞,复现截图如下:
鉴于该漏洞影响较大,建议客户尽快升级到最新版本。
影响范围
宝塔Linux 7.4.2版本
宝塔Windows 6.8版本
处置建议
请尽快更新至以下安全版本:
宝塔Linux 7.4.2版本 -> 宝塔Linux正式版 7.4.3
宝塔Linux测试版本7.5.14 -> 宝塔Linux测试版本7.5.15
宝塔Windows 6.8版本 -> 宝塔Windows 正式版6.9.0
更新方法:
登录面板后台,右上角点击更新,弹窗后,点击立即更新。
或者使用升级脚本(注意:优先在面板首页直接点更新,失败的情况下,才使用此命令,且不能在面板自带的SSH终端执行):
curl https://download.bt.cn/install/update_panel.sh|bash
离线升级步骤:
1、下载离线升级包:http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip
2、将升级包上传到服务器中的/root目录
3、解压文件:unzip LinuxPanel-7.4.3.zip
4、切换到升级包目录:cd panel
5、执行升级脚本:bash update.sh
6、删除升级包:cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel
更多信息请参考如下链接:
https://mp.weixin.qq.com/s/XSDbyU-5TNzFCrp0sb0qKw
参考资料
[1] https://mp.weixin.qq.com/s/XSDbyU-5TNzFCrp0sb0qKw
时间线
2020年8月23日,奇安信 CERT发布安全风险通告
文章来源:奇安信 CERT
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论