关于宝塔Linux面板7.4.2及Windows面板6.8紧急安全更新,以及宝塔“未授权访问漏洞”的分析

今日宝塔面板官方爆料说有紧急安全更新,鉴于宝塔面板用户数量庞大,可能涉及到很多服务器。
此次更新为紧急安全更新,请Liunx版本7.4.2版本和windows版6.8版本的用户务必更新到最新版(其他版本不受影响),更新方法登录面板,首页右上角点击更新即可,如若更新失败,请尝试修复面板或者联系宝塔官方客服。

Linux版本7.4.2版本和测试版本7.5.14的用户更新到以下版本
宝塔linux 测试版本7.5.15 (安全版本)
宝塔linux 正式版 7.4.3 (安全版本)
此次更新为紧急安全更新,请7.4.2的用户务必更新到最新版

更新方法:
登录面板后台,右上角点击更新,弹窗后,点击立即更新

或者使用升级脚本(注意:优先在面板首页直接点更新,失败的情况下,才使用此命令,且不能在面板自带的SSH终端执行):
curl https://download.bt.cn/install/update_panel.sh|bash
复制代码

离线升级步骤:
1、下载离线升级包:http://download.bt.cn/install/update/LinuxPanel-7.4.3.zip
2、将升级包上传到服务器中的/root目录
3、解压文件:unzip LinuxPanel-7.4.3.zip
4、切换到升级包目录:cd panel
5、执行升级脚本:bash update.sh
6、删除升级包:cd .. && rm -f LinuxPanel-7.4.3.zip && rm -rf panel

Windows版本6.8版本的用户更新到以下版本
Windows 正式版6.9.0 (安全版本)

更新日志:
1、紧急修正一处安全风险

此次更新为紧急安全更新,请6.8版本的用户务必更新到最新版。

破坏计算机判刑极严,切勿以身试法:
本次安全风险我们已经在当地公安局报备,请勿在网上传授他人使用方法以及使用这些工具破坏他人服务器,
传授及操作都已经触犯刑法,
网络非法外之地,国家对于破坏计算机信息系统罪是严打的,判刑都是都比较重的,千万不要以身试法。
也有部分用户受此安全风险影响,我们会全力配合用户固定证据,配合公安机关进行下一步侦查。
有受影响的用户,或者怀疑自己受影响的用户可以直接联系我们,近期我们会加派人手跟进售后。

有数据影响的自身没备份的可以联系我们尝试通过面板二进制日志恢复。

此问题主要出现在“从面板安全登录的地方”
一个正常的“安全登录”过程如图

用户通过点击宝塔面板的按钮进行登录,然后PHPMyadmin跟宝塔要凭据

凭据的通信过程如图
然后宝塔会和用户要登录凭据,随后存在面板内
(样例1)
(凭据状态)
此时,攻击者通过访问 IP:888/pma这个路径来尝试攻击

由于宝塔的代码问题,访问这个链接应该直接会调取宝塔面板一个路径存储下的凭证,Nginx应该是授权了这次无凭证访问

攻击者成功登陆面板
我感觉这是一个逻辑越权漏洞(垂直越权)
现在放出来的消息很少,只能先简单分析这么多。

发表评论