宝塔面板再次惊现重大安全漏洞 所有用户请暂时关闭面板
【时间】2020-12-29
【编辑】网络
【浏览量】
【等级保护QQ交流群】881590869
早上就少看了一会loc。再去看发现就炸了。宝塔面板又出现了重大安全漏洞。官方已经官宣漏洞存在。所有安装过插件的用户均可能受影响。目前Windows和Linux版均受影响。目前宝塔官方并未找到漏洞根源。
官方已经给出最新临时方案。可以暂时关闭面板。等官方查清楚原因后更新开启。关闭面板并不会影响网站业务。
目前已知还存在的漏洞有3个:
-
nginx1.8版本存在root提权问题。nginx官方问题。建议更新到1.19.如果程序不支持太新。那么请至少更新到1.9。
-
1.18版存在root提权问题。建议更新到1.19。
-
plugin文件夹可能存在越权执行问题。
还有一个是小道消息。这个不如上面3个准。那就是SSH插件有问题。不管什么先卸载再说。
如果你还觉得不安全。官方给的建议可以先暂时关闭面板。等待官网最新通知。所有问题均以这个页面官方通告为准。
关闭宝塔面板方法:
停止面板:bt stop
启动面板:bt start
官方声明:关于宝塔安全情报信息排查声明
我们在三个月前联合补天发布了百万悬赏漏洞征集专题
如有发现漏洞可以直接在此处提交(目前补天平台没有收到漏洞上报)
关于网络流传的此次面板安全漏洞提醒,如果您特别担心,可以做以下常规的安全操作:
1、面板设置一些安全措施如更换端口限定IP访问
2、备份好数据库及站点数据
3、面板以及Linux系统基本安全设置视频
我们已全力进行排查此次情报相关信息,所有结果会在宝塔论坛发帖公示。
我们的建议是当下暂时什么都不用做,关注官方信息即可。
跟进相关记录
10:15分,我们已收到一些相关的情报信息,已安排同事跟进排查
12:10分,我们负责安全的同事以及联系了相关做安全的朋友,目前没有收到一个具体的关于本次安全情况的相关资料,当前还在跟进中
14:01分,根据现有所有汇聚的线索,详细排查后没有找到具体的漏洞,补天百万悬赏漏洞活动依然也没人提交,抱着对用户负责任的态度,我们依然还在持续跟进这条情报,所有信息以我们论坛更新为主。
19:45分,根据现有所有汇聚线索,我们安全技术深入排查,没有找到具体的漏洞,补天等漏洞平台,依然没人提交。我们继续持续跟进。
|
|