根据官方的说法,这个漏洞只影响如下版本:
Linux 正式版 7.4.2
Linux 测试版 7.5.13
Windows 正式版 6.8
这个版本就是最新版(漏洞修复版)的前一个版本。也就是说,这个确定的小版本之前的版本面板是不受影响的。我们试想一下,如果是“后门”或者官方忘记删除的目录,为什么只影响这一个版本呢?况且宝塔面板发展了这么久,积累了 400 万用户,体系安全性也相对比较成熟,如果存在这么低劣的错误或“后门”,也应该早就被发现了。
经过实际查看互联网上的案例和询问使用了宝塔面板的朋友,我发现在 7.4.2 以前的版本中没有 pma 这个目录,并且 phpmyadmin 默认情况下认证方法是需要输入账号密码的。所以,宝塔出现这个漏洞,一定是做过了下面这两件事:
新增了一个 pma 目录,内容 phpmyadmin phpmyadmin 的配置文件被修改了认证方式
首先,宝塔面板绝对不是弱智,这个漏洞不是简简单单的放了一个未授权的 pma 在外面忘记删。这其实会打很多人脸,因为大部分人认为这只是个简单的 phpmyadmin 未授权访问漏洞,并对宝塔进行了一顿 diss,没有想到这后面其实是一个复杂的逻辑错误。
其次,用户体验和安全绝对是不冲突的,我十分不喜欢为了保障安全而阉割用户体验的做法。所以希望宝塔官方不会因为这次的漏洞事件而彻底将代码回滚(据说 7.4.3 的更新只是临时解决方案),该改进的地方还是要改进。
个人感觉宝塔看外在其实是一个比较注重安全的系统,比如自动生成的用户密码、用户名和密码的策略、默认的 Php 安全配置、自动的版本更新等等,相比于很多国内其他的商业系统,绝对属于有过之而无不及了。但是看代码其实需要改进的地方还有很多,这个以后有机会再细说吧。
文章若有侵权,请联系本站作者。
