今天上午已经有小伙伴爆出宝【bǎo】塔7.4.2版【bǎn】本【běn】有【yǒu】PMA漏洞,可直接进入该【gāi】版本【běn】的服务器数据库,安全问【wèn】题可知有多严【yán】重
影响用户: 宝塔7.4.2 ,其他版本及内测版本暂不影响
夏柔也是最新得【dé】到消【xiāo】息【xī】,把公【gōng】告发到【dào】一些【xiē】经常【cháng】聊天【tiān】的WordPress群里,很多用户看到我发的消息后确认【rèn】新版本直【zhí】接无【wú】痛【tòng】升级,但是有些用户修改了宝【bǎo】塔文件并且表示不想升级该如何操作?
漏洞说【shuō】明【míng】:入【rù】侵者可以使用漏洞登录phpmyadmin,达到【dào】删除数据库【kù】,提权等。
解决方法:
进入/www/server/phpmyadmin目录,查看是否有pma文【wén】件【jiàn】夹【jiá】,然后删除。
进入【rù】phpmyadmin插件里更改默认【rèn】888端口为其【qí】他【tā】安全端口。
如果用不到phpmyadmin可以选择删除该插件。
如不使【shǐ】用可以取消勾选启用公共【gòng】访问权【quán】限,或者【zhě】php版【bǎn】本设置为纯静态。
其他说明:
宝塔7.4.2版本起增加了adminer数据库管理软件。
为了【le】安全起见如果【guǒ】不使用请删除【chú】/www/server/panel/adminer目录即【jí】可。
升级脚本(注意:优先在面板首页【yè】直接【jiē】点更新【xīn】,失败的【de】情况下,才使用【yòng】此【cǐ】命令,且不能在面板自带的【de】SSH终端【duān】执行):
curl https://download.bt.cn/install/update_panel.sh|bash
离线升级步骤:
1、下【xià】载离线升级【jí】包:http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip
2、将升级包上传到服务器中的/root目录
3、解压【yā】文件:unzip LinuxPanel-7.4.3.zip
4、切换到升级包目录: cd panel
5、执行升级脚本:bash update.sh
6、删除升级包【bāo】:cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel
版权所有:深圳市网商在线科技有限公司