• 快云存储空间
  • 自建反代Imgur
  • B站图床测试
  • 超星网盘图片外链
  • onedrive与123盘直连图测试
  • 博客迁移至外网
  • 持有VPS测试结果存档
  • 换了个大框的眼镜,终于不往下掉了……
  • 折腾了半天又回归了WP,还是这个上手!

【漏洞】宝塔主机面板2020年8月23日漏洞图解

热点关注 主人 2年前 (2020-09-05) 611次浏览 0个评论

根据官方的说法,这个漏洞只影响如下版本:

Linux 正式版 7.4.2
Linux 测试版 7.5.13
Windows 正式版 6.8
这个版本就是最新版(漏洞修复版)的前一个版本。也就是说,这个确定的小版本之前的版本面板是不受影响的。我们试想一下,如果是“后门”或者官方忘记删除的目录,为什么只影响这一个版本呢?况且宝塔面板发展了这么久,积累了 400 万用户,体系安全性也相对比较成熟,如果存在这么低劣的错误或“后门”,也应该早就被发现了。

       经过实际查看互联网上的案例和询问使用了宝塔面板的朋友,我发现在 7.4.2 以前的版本中没有 pma 这个目录,并且 phpmyadmin 默认情况下认证方法是需要输入账号密码的。所以,宝塔出现这个漏洞,一定是做过了下面这两件事:

新增了一个 pma 目录,内容 phpmyadmin
phpmyadmin 的配置文件被修改了认证方式

       首先,宝塔面板绝对不是弱智,这个漏洞不是简简单单的放了一个未授权的 pma 在外面忘记删。这其实会打很多人脸,因为大部分人认为这只是个简单的 phpmyadmin 未授权访问漏洞,并对宝塔进行了一顿 diss,没有想到这后面其实是一个复杂的逻辑错误。

       其次,用户体验和安全绝对是不冲突的,我十分不喜欢为了保障安全而阉割用户体验的做法。所以希望宝塔官方不会因为这次的漏洞事件而彻底将代码回滚(据说 7.4.3 的更新只是临时解决方案),该改进的地方还是要改进。

       个人感觉宝塔看外在其实是一个比较注重安全的系统,比如自动生成的用户密码、用户名和密码的策略、默认的 Php 安全配置、自动的版本更新等等,相比于很多国内其他的商业系统,绝对属于有过之而无不及了。但是看代码其实需要改进的地方还有很多,这个以后有机会再细说吧。


文章若有侵权,请联系本站作者。
喜欢 (9)

文章评论已关闭!