宝塔Linux正式版7.4.2紧急发布安全漏洞更新提醒 漏洞危害情况堪忧

2020年8月23日下午,宝塔紧急发布安全漏洞更新提醒,要求用户更新到最新版本,7.4.2版本已被证实有超高危漏洞,攻击者可以在几秒钟之内入侵服务器,并快速的删除整个服务器数据库,通过SQL提权的方式,拿到服务器所有权。

宝塔Linux正式版7.4.3更新日期:2020/08/23

紧急修正一处安全风险,建议7.4.2版本的用户立即更新

漏洞演示

公告截图

宝塔Linux正式版7.4.2紧急发布安全漏洞更新提醒 漏洞危害情况堪忧

短信截图

宝塔Linux正式版7.4.2紧急发布安全漏洞更新提醒 漏洞危害情况堪忧(点击查看大图)

首先宝塔通过及时通知用户更新,这种负责任的态度是值得肯定的。

其次,这次漏洞的危害程度确实非常高。

漏洞情况

经过整理了解到,本次漏洞可以通过批量扫888端口(宝塔默认端口),然后通过PMA的默认URL,Post  SQL命令即可完成执行。

即: 无鉴权通过特定地址直接进PMA管理数据库。

宝塔Linux正式版7.4.2紧急发布安全漏洞更新提醒 漏洞危害情况堪忧某工会网站据传被杀被删除被删库

宝塔Linux正式版7.4.2紧急发布安全漏洞更新提醒 漏洞危害情况堪忧

宝塔Linux正式版7.4.2紧急发布安全漏洞更新提醒 漏洞危害情况堪忧宝塔Linux正式版7.4.2紧急发布安全漏洞更新提醒 漏洞危害情况堪忧可轻易进入数据库管理

漏洞利用情况

该漏洞可轻易复现,并且值得注意的是,这个超高危漏洞,也就是7.4.2版本更新时间已经将近一个月。

所以,可以肯定的是,目前只是爆发出来,截至爆发时间前的一个月,很多网站可能已经被入侵并通过SQL完成了提权。

最重要的是,现在往回排查,工作量大,而且很容易遗漏。

排除方法:/www/wwwlog下面的access.log,查看nginx888端口访问记录即可初步判断。

更新方式

curl https://download.bt.cn/install/update_panel.sh|bash

离线更新

1、下载离线升级包:http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip

分流下载:点击下载本站分流

2、将升级包上传到服务器中的/root目录

3、解压文件:unzip LinuxPanel-7.4.3.zip

4、切换到升级包目录: cd panel

5、执行升级脚本:bash update.sh

6、删除升级包:cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel

原创文章,作者:蓝洛水深,如若转载,请注明出处:https://www.ilanluo.com/9293

发表评论

登录后才能评论