寶塔面板再次驚現(xiàn)重大安全漏洞 所有用戶請暫時關(guān)閉面板
【時間】2020-12-29
【編輯】網(wǎng)絡(luò)
【瀏覽量】
【等級保護(hù)QQ交流群】881590869
早上就少看了一會loc。再去看發(fā)現(xiàn)就炸了。寶塔面板又出現(xiàn)了重大安全漏洞。官方已經(jīng)官宣漏洞存在。所有安裝過插件的用戶均可能受影響。目前Windows和Linux版均受影響。目前寶塔官方并未找到漏洞根源。
官方已經(jīng)給出最新臨時方案??梢詴簳r關(guān)閉面板。等官方查清楚原因后更新開啟。關(guān)閉面板并不會影響網(wǎng)站業(yè)務(wù)。
目前已知還存在的漏洞有3個:
-
nginx1.8版本存在root提權(quán)問題。nginx官方問題。建議更新到1.19.如果程序不支持太新。那么請至少更新到1.9。
-
1.18版存在root提權(quán)問題。建議更新到1.19。
-
plugin文件夾可能存在越權(quán)執(zhí)行問題。
還有一個是小道消息。這個不如上面3個準(zhǔn)。那就是SSH插件有問題。不管什么先卸載再說。
如果你還覺得不安全。官方給的建議可以先暫時關(guān)閉面板。等待官網(wǎng)最新通知。所有問題均以這個頁面官方通告為準(zhǔn)。
關(guān)閉寶塔面板方法:
停止面板:bt stop
啟動面板:bt start
官方聲明:關(guān)于寶塔安全情報(bào)信息排查聲明
我們在三個月前聯(lián)合補(bǔ)天發(fā)布了百萬懸賞漏洞征集專題
如有發(fā)現(xiàn)漏洞可以直接在此處提交(目前補(bǔ)天平臺沒有收到漏洞上報(bào))
關(guān)于網(wǎng)絡(luò)流傳的此次面板安全漏洞提醒,如果您特別擔(dān)心,可以做以下常規(guī)的安全操作:
1、面板設(shè)置一些安全措施如更換端口限定IP訪問
2、備份好數(shù)據(jù)庫及站點(diǎn)數(shù)據(jù)
3、面板以及Linux系統(tǒng)基本安全設(shè)置視頻
我們已全力進(jìn)行排查此次情報(bào)相關(guān)信息,所有結(jié)果會在寶塔論壇發(fā)帖公示。
我們的建議是當(dāng)下暫時什么都不用做,關(guān)注官方信息即可。
跟進(jìn)相關(guān)記錄
10:15分,我們已收到一些相關(guān)的情報(bào)信息,已安排同事跟進(jìn)排查
12:10分,我們負(fù)責(zé)安全的同事以及聯(lián)系了相關(guān)做安全的朋友,目前沒有收到一個具體的關(guān)于本次安全情況的相關(guān)資料,當(dāng)前還在跟進(jìn)中
14:01分,根據(jù)現(xiàn)有所有匯聚的線索,詳細(xì)排查后沒有找到具體的漏洞,補(bǔ)天百萬懸賞漏洞活動依然也沒人提交,抱著對用戶負(fù)責(zé)任的態(tài)度,我們依然還在持續(xù)跟進(jìn)這條情報(bào),所有信息以我們論壇更新為主。
19:45分,根據(jù)現(xiàn)有所有匯聚線索,我們安全技術(shù)深入排查,沒有找到具體的漏洞,補(bǔ)天等漏洞平臺,依然沒人提交。我們繼續(xù)持續(xù)跟進(jìn)。
|
|